Die Veröffentlichung einer manipulierten Version des Jenkins AST Plugins, das mit Checkmark verbunden ist, stellt wieder die gefährlichste Bedrohung des Moments auf den Tisch: den Misserfolg des Vertrauens in die Software-Versorgungskette. Nach Angaben des Unternehmens selbst, gab es eine bösartige Version und Checkmark hat angegeben, dass Benutzer sollten sicherstellen, dass sie in der sicheren Version sind. 2.0.13-829.vc72453fa _ 1c16(veröffentlicht am 17. Dezember 2025) oder in der späteren Veröffentlichung des offiziell veröffentlichten Unternehmens; beim Schreiben dieses Textes hat das Unternehmen bereits begonnen, eine zusätzliche korrigierte Version ( 2.0.13-848.v76e89de8a _ 053) in seinem Repository und dem Jenkins Marketplace. Um Plugins aus dem offiziellen Kanal zu überprüfen und herunterzuladen, sollten Sie die Jenkins-Ökosystem-Website verwenden: https: / / plugins.jenkins.io /.
Der Schauspieler, der dem Angriff zugeschrieben wird, der als TeamPCP bekannt ist, hat ein konsistentes Muster von Operationen gezeigt: unbefugter Zugriff auf Repositories, manipulierte Publikationen und temporäre Ersatz von legitimen Komponenten durch Malware, entworfen, um Anmeldeinformationen und Geheimnisse von Entwicklern zu stehlen. Die gleiche Gruppe wurde vor Wochen bei Vorfällen gegen Docker-Bilder, VS-Code-Erweiterungen und GitHub-Actions-Workflows festgestellt, und diese Intrusionen führten zu Verbraucherpaketverpflichtungen als npm-Paket, das von Bitwardens CLI verwendet wurde. Wiederholen der Aufschaltung schlägt vor Fortsetzung oder gescheiterte Vermittlung- entweder weil kritische Anmeldeinformationen nicht gedreht wurden oder weil ein versteckter Zugriff erhalten wurde, und es zwingt Organisationen und Entwickler, davon auszugehen, dass jedes Element der Lieferkette betroffen sein könnte.
Wenn Ihre Organisation das betroffene Plugin verwendet, ist der erste Schritt sofort aktualisieren auf die neueste verifizierte Version, die von Checkmarx in offiziellen Quellen veröffentlicht wird und sich nicht auf Updates verlassen, die von nicht verifizierten Kanälen erreicht werden können. Nach dem Update geht davon aus, dass die für das Plugin zugänglichen Geheimnisse beeinträchtigt wurden: rotieren Token, Schlüssel und Anmeldeinformationen dass das Plugin (einschließlich CI / CD-Berechtigungen, Repository-Tokens und API-Schlüssel) verwenden könnte, überprüfen Sie die Protokolle und Bereitstellungsspuren für ungewöhnliche Aktivitäten und Auditing-Bilder und Artefakte, die von den Pipelines während des Expositionszeitraums erzeugt werden.
Um das Risiko in Zukunft zu reduzieren, ist es unerlässlich, technische und Governance-Kontrollen hinzuzufügen: Einschränkung von Privilegien von Plugins und Service-Konten, Verwendung von Ephemeral-Tokens in Pipelines, Einschränkungen von Egress / Networking von CI zu unautorisierten Zielen, Überprüfung und Unterschrift von Artefakten vor der Veröffentlichung und strenge Richtlinien des Zugangs zu Repositorien mit Multifaktor-Authentifizierung und Anmeldeinformationen Rotation. Gute Sicherheitspraktiken in der Lieferkette und GitHubs Leitfaden zu diesem Thema können ein guter Ausgangspunkt für die Gestaltung von Kontrollen sein: https: / / docs.github.com / en / code-security / Supply-chain-security.
Neben technischen Maßnahmen gibt es konkrete operative Schritte, die ergriffen werden sollten: Überprüfung der Integrität der Binäre oder heruntergeladene Pakete (Checksums / Signaturen), Überprüfung der Geschichte und Filialen des Plugin-Repository auf der Suche nach verdächtigen Verpflichtungen und Tags und Koordinierung mit dem Lieferanten, um Verpflichtungsindikatoren (IOCs) und einen detaillierten Bericht zu erhalten. Wenn Sie Anzeichen für die Exfiltration oder die Ausführung von unbefugten Nutzlasten erkennen, handelt es sich um einen Kompromiß der Infrastruktur und aktiviert die einfallenden Antwortprozesse, einschließlich der Berichterstattung an betroffene Parteien und Abschwächungsdienste.
Schließlich müssen Projektbetreuer und Sicherheitsausrüstung ihre internen Verfahren überprüfen: um zu beschränken, wer Releases veröffentlichen kann, automatisierte Überprüfungen und Überprüfungen vor der Veröffentlichung von Artefakten benötigen, um Alarme zu plötzlichen Änderungen in Repository-Metadaten zu ermöglichen und Entwickler über das Risiko der Installation von nicht validierten Drittanbietererweiterungen zu informieren. Die Community kann auch durch Überprüfung und Überwachung kritischer Plugins beitragen; Supply-Chain-Sicherheit ist ein kollektives Problem und Informationen, die von unabhängigen Spezialisten und Firmen geteilt werden, hilft, Kampagnen zu erkennen und zu enthalten, wie das TeamPCP zugeschrieben. Erweitern Sie die Informationen über Checkmarx und folgen Sie Ihrem offiziellen Kommunikationsbesuch https: / / checkmarci.com / und halten Sie die Informationen vom Jenkins Lieferant und Ökosystem im Auge.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...