Während des Wochenendes bestätigte Checkmarx, dass eine böswillige Version seines Jenkins Plugins für Application Security Testing (AST) im Jenkins Market veröffentlicht wurde, zusätzlich zu einer Kette von Zwischenfällen, die bereits Lecks und Gewinde Artefakte in GitHub, Docker und Erweiterung Vermarkter enthalten. Das Unternehmen, das als TeamPCP bekannt ist, nutzte die Anmeldeinformationen, die in einer früheren Lücke - verbunden mit dem Vorfall gegen Trivy - erhalten wurden, um Code mit der Fähigkeit, Anmeldeinformationen in verschiedenen Entwicklungstools zu stehlen, einschließlich einer Version des Checkmark Plugins, das außerhalb seines offiziellen Kanals hochgeladen wurde. Die offizielle Note des Unternehmens ist mit den ersten Details und Empfehlungen in seiner Veröffentlichung verfügbar: Sicherheitsupdate von Prüfzeichen.
Jenkins ist eine Säule in vielen CI / CD-Pipelines und jede Komponente, die in Ihren Workflow integriert ist, hat Zugang zu, in größerem oder geringerem Maße, Geheimnisse, Bauartefakte und Bereitstellungs-Anmeldeinformationen. Ein Backdooded Plugin kann nicht nur in der Gebäudeumgebung gespeicherte Token und Anmeldeinformationen ausfiltern, sondern auch als Vektor für Seitenbewegungen und Persistenz innerhalb der Entwicklungsinfrastruktur fungieren. Die veröffentlichte verdächtige Version wurde als 2026.5.09 identifiziert und nach Checkmarx nicht dem normalen Release-Verfahren folgen (ohne git-Tag oder offizielle Veröffentlichung), während das Unternehmen empfiehlt, die sichere Version 2.0.13-829.vc72453fa _ 1c16 oder eine frühere, bis die vollständige Abhilfe bestätigt ist. Das offizielle Plugin im Jenkins Repository kann hier überprüft werden: Checkmarx AST Plugin.
Jenseits der Punktwirkung zeigt dieser Vorfall zwei kritische Punkte: die Fragilität von persistenten Anmeldeinformationen in Repositorien und die Notwendigkeit, jedes Artefakt zu validieren, das in die Pipeline gelangt. Wenn ein Anmelder in ein Glied der Lieferkette gefiltert wird, kann der Angreifer mehrere Vektoren (Repos, Bilder, Erweiterungen) schwenken und den Zugriff über lange Zeiträume erhalten, wenn Geheimnisse nicht gedreht und widerrufen werden. Die von den Angreifern hinterlassene Botschaft - die fehlende Verdrehung von Geheimnissen beschuldigt - ist eine rohe Erinnerung: periodische Rotationen und Management mit Ablaufpolitiken sind grundsätzlich, aber oft vernachlässigt Kontrolle.
Wenn Sie Jenkins verwalten oder das engagierte Plugin integrieren, gehen Sie davon aus, dass jedes Geheimnis, das durch die Jobs ging, beeinträchtigt werden kann. Sofortige Aktionen sollten die Identifizierung und Quarantäne-Instanzen beinhalten, die die Version 2026 installiert haben. 5.09, drehen alle Geheimnisse und Anmeldeinformationen exponiert, Revoking-Token und Schlüssel mit Repositories und CI / CD-Systeme verbunden, und suchen nach Beweisen der Exfiltration oder Beharrlichkeit. Checkmark hat Kompromissindikatoren (IoCs) und schädliche Geräte veröffentlicht, mit denen Antwortteams untersuchen können; es überprüft sein offizielles Sicherheitsportal und Kommunikation, um diese Muster und Unterschriften zu erhalten.
Im operativen Teil ist es angebracht, die Pipelines auf der Suche nach ungewöhnlichen Zugriffen, Befehlen oder externen Downloads, die von Jobs ausgeführt werden, zu überprüfen und Protokolle von GitHub, Docker Registry und Verpackungssystemen zu prüfen. Die Ablehnung und Wiederaufnahme von Anmeldeinformationen mit mehr Einschränkungen (begrenzter Geltungsbereich, kurzer Ablauf), die Ersetzung von persistenten Anmeldeinformationen durch temporäre föderierte Identitätsmechanismen (z.B. gegebenenfalls) und die Stärkung der Seigerung von Umgebungen sind sofortige Maßnahmen zur Verringerung des Strahlenradius. Die Überprüfung der Integrität von Artefakten (Signaturen, Prüfsummen, reproduzierbare Gebäude) und die Vorliebe für in der Pipeline unterzeichnete Artefakte machen es zudem schwierig, unbefugte Pakete automatisch zu akzeptieren.
Mittel- und langfristig müssen Organisationen ihre Sicherheitshygiene in der Lieferkette erhöhen: systematische Umsetzung von Richtlinien für Maschinentoken in Repositorien, Sperrung von Anmeldeinformationen in Aufzeichnungen, Überprüfung von Genehmigungen in Servicekonten und regelmäßige Audits an Dritte und an die Veröffentlichungskanäle von Plugins und Paketen. Es ist auch an der Zeit, Entwicklungsprozesse in Frage zu stellen, die die Veröffentlichung kritischer Geräte ohne unabhängige Sicherheitsüberprüfungen oder Unterschriften- und Rückverfolgbarkeitskontrollen ermöglichen. Um dem technischen Weg des Engagements von unabhängigen Forschern zu folgen, können die öffentlichen Beweise, die von Analysten und den Verantwortlichen für die Offenlegung geteilt werden, einschließlich des von dem Forscher dokumentierten Fadens, der die Tätigkeit in GitHub identifiziert: Adnan Khan in X.
Schließlich, obwohl Checkmark sicherstellt, dass seine Repositories keine Kundendaten enthalten und dass die Entwicklungsumgebung von der Produktionsumgebung getrennt ist, die Organisationen müssen handeln, als ob sie betroffen wären, wenn sie das engagierte Plugin installiert haben und vollständige Antwort: Erkennung, Eindämmung, Tilgung und Lernen. Die Software-Versorgungskette ist nun ein bevorzugtes Ziel; die Reduzierung der Exposition erfordert sowohl technische Veränderungen als auch kontinuierliche Betriebsdisziplin.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...