La publication d'une version manipulée du plugin Jenkins AST associé à Checkmark met encore une fois sur la table la menace la plus dangereuse du moment: l'abus de confiance dans la chaîne d'approvisionnement logiciel. Selon les informations émises par l'entreprise elle-même, il y avait une version malveillante et Checkmark a indiqué que les utilisateurs devraient s'assurer qu'ils sont dans la version sécurisée. 2.0.13-829.vc72453fa _ 1c16(publié le 17 décembre 2025) ou dans la version ultérieure de l'entreprise publiée officiellement; lors de la rédaction de ce texte, l'entreprise a déjà commencé à distribuer une version corrigée supplémentaire ( 2.0.13-848.v76e89de8a _ 053) tant dans son dépôt que dans le marché Jenkins. Pour consulter et télécharger les plugins du canal officiel, vous devez utiliser le site de l'écosystème Jenkins: https: / / plugins.jenkins.io /.
L'acteur attribué à l'attaque, connue sous le nom de TeamPCP, a démontré un schéma d'opérations cohérent : accès non autorisé aux dépôts, publications manipulées et remplacement temporaire de composants légitimes par des logiciels malveillants conçus pour voler des références et des secrets aux développeurs. Le même groupe a été noté il y a des semaines lors d'incidents contre des images Docker, des extensions de code VS et des workflows GitHub Actions, et ces intrusions ont entraîné des engagements de paquets de consommateurs comme un paquet npm utilisé par la CLI de Bitwarden. Répéter l'intrusion suggère suite ou échec de la médiation- soit parce qu'il n'y avait pas de rotation des pouvoirs critiques, soit parce qu'un accès caché était maintenu, et cela oblige les organisations et les développeurs à supposer que tout élément de la chaîne d'approvisionnement pourrait être affecté.
Si votre organisation utilise le plugin affecté, la première étape est Mise à jour immédiate à la dernière version vérifiée publiée par Checkmarx dans des sources officielles et ne pas compter sur les mises à jour qui peuvent être atteintes par des canaux non vérifiés. Après la mise à jour, il suppose que les secrets accessibles au plugin peuvent avoir été compromis: jetons de rotation, clés et lettres de créances que le plugin pourrait utiliser (y compris les identifiants CI / CD, jetons de dépôt et clés API), vérifier les journaux et les pistes de déploiement pour les activités inhabituelles et vérifier les images et artefacts générés par les pipelines pendant la période d'exposition.
Afin de réduire les risques à l'avenir, il est essentiel d'ajouter des contrôles techniques et de gouvernance: limitation des privilèges des plugins et des comptes de service, utilisation des jetons éphémères dans les pipelines, restrictions de l'évacuation / réseau de l'IC vers des destinations non autorisées, examen et signature des artefacts avant de les publier et politiques strictes d'accès aux dépôts avec Authentification multifactorielle et rotation des références. Les bonnes pratiques de sécurité dans la chaîne d'approvisionnement et le guide de GitHub en la matière peuvent constituer un bon point de départ pour la conception des contrôles: https: / / docs.github.com / fr / code-security / supply-chain-security.
Outre les mesures techniques, il y a des mesures opérationnelles concrètes à prendre : valider l'intégrité des binaires ou des paquets téléchargés (vérifications / signatures), vérifier l'historique et les branches du dépôt de plugins à la recherche d'engagements et d'étiquettes suspects, et coordonner avec le fournisseur pour obtenir des indicateurs d'engagement (COI) et un rapport détaillé. Si vous détectez des signes d'exfiltration ou d'exécution de charges utiles non autorisées, il agit comme si l'infrastructure avait été compromise et active les processus d'intervention en cas d'incident, y compris la déclaration aux parties touchées et les services d'atténuation.
Enfin, les responsables du projet et l'équipement de sécurité doivent revoir leurs procédures internes : restreindre qui peut publier des publications, exiger des examens et des vérifications automatisés avant de publier des artefacts, permettre des alertes aux changements soudains dans les métadonnées du dépôt et sensibiliser les développeurs au risque d'installer des extensions tierces non validées. La communauté peut également contribuer en examinant et en surveillant les plugins critiques; la sécurité de la chaîne d'approvisionnement est un problème collectif et l'information partagée par des spécialistes indépendants et des entreprises aide à détecter et à contenir des campagnes telles que celles attribuées à TeamPCP. Pour élargir les informations sur Checkmarx et suivre votre visite de communication officielle https: / / checkmarci.com / et garder un œil sur l'information du fournisseur et de l'écosystème Jenkins.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...