**Checkmarx** hat am Wochenende vor einer kompromittierten Version seines Jenkins Application Security Testing (AST) Plugins gewarnt, die im Jenkins Marketplace veröffentlicht wurde. Für diese Kompromittierung wird die Hacker-Gruppe **TeamPCP** verantwortlich gemacht, die für eine Reihe von Supply-Chain-Angriffen bekannt ist, darunter die **Shai-Hulud**-Kampagnen auf npm und der Einbruch in den **Trivy**-Schwachstellenscanner, der zur Verbreitung von Malware zur Erbeutung von Anmeldeinformationen führte. Jenkins ist eine weit verbreitete Automatisierungslösung für Continuous Integration/Continuous Deployment (CI/CD), die für Software-Builds, Tests, Code-Scans, Anwendungs-Packaging und die Bereitstellung von Updates auf Servern unerlässlich ist. Das **Checkmarx AST-Plugin** im Jenkins Marketplace dient dazu, Sicherheitsscans in automatisierte Pipelines zu integrieren. "Wir sind uns bewusst, dass eine modifizierte Version des Checkmarx Jenkins AST-Plugins im Jenkins Marketplace veröffentlicht wurde. Wir arbeiten derzeit an der Veröffentlichung einer neuen Version dieses Plugins", teilte Checkmarx in einem Update mit. Dieser Vorfall markiert den dritten Supply-Chain-Angriff, dem **Checkmarx** seit Ende März ausgesetzt war. Laut einem Offensive-Security-Ingenieur hat **TeamPCP** unbefugten Zugriff auf die GitHub-Repositories von Checkmarx erlangt und das Jenkins AST-Plugin mit einer Backdoor versehen, um Malware zur Erbeutung von Anmeldeinformationen zu verteilen. Ein Sprecher des Unternehmens bestätigte, dass der Bedrohungsakteur im März im Rahmen des **Trivy**-Supply-Chain-Angriffs Anmeldeinformationen für die Repositories erbeutet hat. Die Hacker hinterließen eine Nachricht: "Checkmarx versäumt es erneut, Secrets zu rotieren. Mit Liebe - TeamPCP."  "Aufgrund dieses Zugriffs konnten die Angreifer mit der GitHub-Umgebung von Checkmarx interagieren und anschließend bösartigen Code in bestimmte Artefakte hochladen", erklärte der Unternehmenssprecher. Unter Verwendung der im **Trivy**-Angriff gestohlenen Anmeldeinformationen veröffentlichten die Hacker modifizierte Versionen mehrerer Entwicklertools auf GitHub, Docker und VSCode, die Code zum Stehlen von Informationen enthielten. Der Bedrohungsakteur behielt mindestens einen Monat lang Zugriff, bevor er eine bösartige Version des **KICS-Analysewerkzeugs** des Unternehmens auf Docker, Open VSX und VSCode veröffentlichte, die Daten aus Entwicklungsumgebungen abgriff. Ende April bestätigte das Unternehmen, dass die **LAPSUS$**-Bedrohungsgruppe Daten geleakt hat, die aus seinem privaten GitHub-Repository gestohlen wurden. Am Samstag, dem 9. Mai, wurde eine bösartige Version (2026.5.09) des Checkmarx Jenkins AST-Plugins auf repo.jenkins-ci.org hochgeladen. Dieses Update, das außerhalb der Release-Pipeline des Plugins erfolgte, enthielt bösartigen Code. Bemerkenswerterweise wich das bösartige Plugin vom offiziellen Datumsformat ab und verfügte weder über ein Git-Tag noch über eine GitHub-Release. Checkmarx rät den Benutzern, sicherzustellen, dass sie Version 2.0.13-829.vc72453fa_1c16 des Plugins verwenden, die am 17. Dezember 2025 veröffentlicht wurde, oder eine ältere Version. Obwohl Checkmarx keine spezifischen Details zu den Aktionen des bösartigen Plugins preisgegeben hat, sollten Benutzer, die die bösartige Version heruntergeladen haben, davon ausgehen, dass ihre Anmeldeinformationen kompromittiert wurden. Ihnen wird geraten, alle Secrets zu rotieren und auf laterale Bewegungen oder Persistenz zu prüfen. Checkmarx versichert, dass seine GitHub-Repositories von der Produktionsumgebung seiner Kunden getrennt sind und keine Kundendaten im GitHub-Repository gespeichert werden. "Wir haben während des gesamten Prozesses mit unseren Kunden kommuniziert und werden weiterhin relevante Updates bereitstellen, sobald weitere Informationen verfügbar sind", erklärte das Cybersicherheitsunternehmen und verwies Kunden für Empfehlungen auf das Support-Portal oder die Abschnitte zu Sicherheitsupdates. Checkmarx hat eine Reihe von bösartigen Artefakten veröffentlicht, die Verteidiger als Indicators of Compromise (IoCs) in ihren Umgebungen verwenden können. [99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht.](https://hubs.li/Q04crVgD0) KI hat vier 0-Day-Schwachstellen zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung herausfindet, was ausnutzbar ist, beweist, dass Kontrollen greifen, und den Remediation-Loop schließt. [Sichern Sie sich Ihren Platz](https://hubs.li/Q04crVgD0)