Plugin Checkmarx Jenkins bị xâm phạm trong cuộc tấn công chuỗi cung ứng

Checkmarx vào thứ Sáu vừa qua đã cảnh báo người dùng rằng một phiên bản độc hại của plugin Jenkins AST đã bị phát tán như một phần của cuộc tấn công chuỗi cung ứng.

Phát triển phần mềm và bảo mật

Plugin này được thiết kế để giúp người dùng tích hợp các tính năng của nền tảng Checkmarx One vào các pipeline Jenkins, cho phép quét mã nguồn nhằm phát hiện các lỗ hổng bảo mật bằng nền tảng Checkmarx AST.

Cảnh báo từ nhà sản xuất

"Chúng tôi đã biết về việc một phiên bản sửa đổi của plugin Checkmarx Jenkins AST đã được xuất bản lên Jenkins Marketplace. Chúng tôi đang trong quá trình xuất bản phiên bản mới của plugin này," - đại diện Checkmarx thông báo vào thứ Sáu.

Công ty yêu cầu người dùng đảm bảo rằng họ đang chạy phiên bản 2.0.13-829.vc72453fa_1c16 của plugin Jenkins AST, phiên bản này được xuất bản vào tháng 12 năm 2025.

Bảo mật phần mềm

Trong cuối tuần, Checkmarx đã phát hành hai phiên bản mới của plugin. Phiên bản mới nhất hiện có sẵn trên cả GitHub và Jenkins Marketplace là 2.0.13-848.v76e89de8a_053.

Bối cảnh cuộc tấn công

Checkmarx chưa chia sẻ thông tin chi tiết về cách thức phiên bản độc hại của plugin được xuất bản, nhưng sự việc này là một phần trong cuộc tấn công chuỗi cung ứng mà công ty an ninh này đang phải đối mặt từ tháng 3.

Hậu quả từ cuộc tấn công chuỗi cung ứng Trivy, nhóm hacker TeamPCP đã truy cập được vào các kho lưu trữ (repositories) của Checkmarx vào cuối tháng 3 và phát hành các tác phẩm độc hại (malicious artifacts).

Một tháng sau, có thể do quyền truy cập liên tục hoặc bị đánh cắp lại, một làn sóng mới các tác phẩm độc hại đã được xuất bản dưới danh nghĩa của Checkmarx.

Không lâu sau đó, nhóm tống tiền nổi tiếng Lapsus$ đã công khai dữ liệu bị đánh cắp allegedly từ các kho lưu trữ của công ty. Checkmarx đã xác nhận vào thời điểm đó rằng dữ liệu có thể đã bị đánh cắp từ các kho lưu trữ GitHub của họ vào cuối tháng 3, sử dụng thông tin đăng nhập bị xâm phạm thông qua cuộc tấn công chuỗi cung ứng Trivy.

Người dùng sử dụng Jenkins và plugin Checkmarx được khuyến cáo mạnh mẽ kiểm tra phiên bản đang sử dụng và thực hiện cập nhật ngay lập tức để đảm bảo an toàn cho hệ thống.