La publicación de una versión manipulada del plugin Jenkins AST asociada a Checkmarx vuelve a poner sobre la mesa la amenaza más peligrosa del momento: el abuso de la confianza en la cadena de suministro de software. Según la información que ha emitido la propia compañía, existió una versión maliciosa y Checkmarx ha indicado que los usuarios deben asegurarse de estar en la versión segura 2.0.13-829.vc72453fa_1c16 (publicada el 17 de diciembre de 2025) o en la release posterior que la compañía publique oficialmente; a la hora de redactar este texto la firma ya ha empezado a distribuir una versión corregida adicional (2.0.13-848.v76e89de8a_053) tanto en su repositorio como en el Marketplace de Jenkins. Para revisar y descargar plugins desde el canal oficial conviene usar la web del ecosistema Jenkins: https://plugins.jenkins.io/.
El actor atribuido al ataque, conocido como TeamPCP, ha demostrado un patrón de operaciones consistente: acceso no autorizado a repositorios, publicaciones manipuladas y sustitución temporal de componentes legítimos por malware diseñado para robar credenciales y secretos de desarrolladores. Hace semanas el mismo grupo fue señalado en incidentes contra imágenes Docker, extensiones de VS Code y flujos de trabajo de GitHub Actions, y esas intrusiones derivaron en compromisos de paquetes consumidores como un paquete npm usado por la CLI de Bitwarden. La repetición de la intrusión sugiere persistencia o fallos de remediación —ya sea porque no se rotaron credenciales críticas o porque se mantuvo un acceso encubierto—, y obliga a organizaciones y desarrolladores a asumir que cualquier elemento de la cadena de suministro podría estar afectado.
Si tu organización utiliza el plugin afectado, el primer paso es actualizar inmediatamente a la versión verificada más reciente publicada por Checkmarx en fuentes oficiales y no confiar en actualizaciones que puedan llegar por canales no verificados. Tras la actualización, asume que los secretos accesibles al plugin pueden haberse visto comprometidos: procede a rotar tokens, claves y credenciales que el plugin pudiera usar (incluyendo credenciales CI/CD, tokens de repositorio y API keys), revisa los logs y las trazas de despliegue en busca de actividad inusual y auditora imágenes y artefactos generados por los pipelines durante el periodo de exposición.
Para reducir el riesgo en el futuro es imprescindible añadir controles técnicos y de gobernanza: limitación de privilegios de plugins y cuentas de servicio, uso de tokens efímeros en pipelines, restricciones de egress/networking desde CI a destinos no autorizados, revisión y firma de artefactos antes de publicarlos y políticas estrictas de acceso a repositorios con autenticación multifactor y rotación de credenciales. Las buenas prácticas de seguridad en la cadena de suministro y la guía de GitHub sobre la materia pueden ser un buen punto de partida para diseñar controles: https://docs.github.com/en/code-security/supply-chain-security.
Además de las medidas técnicas, hay pasos operativos concretos que conviene tomar: validar la integridad de los binarios o de los paquetes descargados (checksums/firmas), comprobar el historial y las ramas del repositorio del plugin en busca de commits y tags sospechosos, y coordinar con el proveedor para obtener indicadores de compromiso (IOCs) y un reporte detallado. Si detectas signos de exfiltración o ejecución de payloads no autorizados, actúa como si la infraestructura hubiese sido comprometida y activa los procesos de respuesta a incidentes, incluyendo notificación a partes afectadas y servicios de mitigación.
Por último, los mantenedores de proyectos y equipos de seguridad deben revisar sus procedimientos internos: restringir quién puede publicar releases, exigir revisiones y comprobaciones automatizadas antes de publicar artefactos, habilitar alertas ante cambios súbitos en la metadata de repositorios y educar a los desarrolladores en el riesgo que supone instalar extensiones de terceros sin validación. La comunidad también puede contribuir revisando y monitorizando plugins críticos; la seguridad de la cadena de suministro es un problema colectivo y la información compartida por especialistas y firmas independientes ayuda a detectar y contener campañas como la atribuida a TeamPCP. Para ampliar la información sobre Checkmarx y seguir sus comunicaciones oficiales visita https://checkmarx.com/ y mantente atento a los avisos del proveedor y del ecosistema Jenkins.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...