Hackers han comprometido exitosamente imágenes de **Docker**, extensiones de **VSCode** y **Open VSX** asociadas con la herramienta de análisis **Checkmarx KICS**. El objetivo de esta brecha fue exfiltrar datos sensibles directamente de los entornos de desarrollo. ### ¿Qué es KICS? **KICS** (Keeping Infrastructure as Code Secure) es un escáner de seguridad gratuito y de código abierto diseñado para ayudar a los desarrolladores a identificar vulnerabilidades en código fuente, dependencias y archivos de configuración. Se utiliza comúnmente de forma local a través de CLI o **Docker**, procesando configuraciones de infraestructura sensibles que a menudo contienen credenciales, tokens y detalles de la arquitectura interna. La empresa de seguridad de dependencias **Socket** inició una investigación tras una alerta de **Docker** sobre imágenes maliciosas enviadas al repositorio oficial `checkmarx/kics` en **Docker Hub**. La investigación reveló que el compromiso se extendió más allá de la imagen troyanizada de **KICS Docker** a las extensiones de **VS Code** y **Open VSX**. Estas extensiones descargaron una función oculta llamada 'MCP addon', diseñada para obtener malware que roba secretos. ### El Malware 'MCP Addon' **Socket** descubrió que la función 'MCP addon' descargaba un componente de robo de credenciales de múltiples etapas, llamado `mcpAddon.js`, desde una URL de **GitHub** codificada. Según los investigadores, el malware se dirige específicamente a los datos procesados por **KICS**, incluyendo tokens de **GitHub**, credenciales de nube para **AWS**, **Azure** y **Google Cloud**, tokens de **npm**, claves **SSH**, configuraciones de **Claude** y variables de entorno. Los datos robados se cifran y se exfiltran a `audit.checkmarx[.]cx`, un dominio que imita la infraestructura legítima de **Checkmarx**. Además, el malware crea automáticamente repositorios públicos de **GitHub** para la exfiltración de datos. .jpg) _Fuente: Socket_ ### Cronología del Ataque Es crucial notar que las etiquetas de **Docker** fueron temporalmente redirigidas a un digest malicioso. El impacto depende de cuándo se descargaron las imágenes. El período peligroso para la imagen **KICS** de **DockerHub** fue desde el 2026-04-22 14:17:59 UTC hasta el 2026-04-22 15:41:31 UTC. Las etiquetas afectadas han sido restauradas a sus digests de imagen legítimos, y la etiqueta falsa `v2.1.21` ha sido completamente eliminada. ### Pasos de Remediación Los desarrolladores que descargaron las imágenes comprometidas durante el período especificado deben considerar sus secretos como comprometidos. Las acciones inmediatas incluyen: * Rotar todos los secretos lo antes posible. * Reconstruir entornos desde un punto seguro conocido. Aunque los hackers de **TeamPCP**, que se atribuyeron la responsabilidad de los compromisos en la cadena de suministro de **Trivy** y **LiteLLM**, también reclamaron este ataque, los investigadores no han encontrado evidencia suficiente para atribuir definitivamente el ataque más allá de correlaciones basadas en patrones. ### Respuesta de Checkmarx **Checkmarx** ha publicado un boletín de seguridad sobre el incidente, asegurando a los usuarios que todos los artefactos maliciosos han sido eliminados y que sus credenciales expuestas fueron revocadas y rotadas. La compañía está investigando activamente el incidente con la ayuda de expertos externos y ha prometido actualizaciones adicionales. Se aconseja a los usuarios de la herramienta comprometida: * Bloquear el acceso a `checkmarx.cx => 91[.]195[.]240[.]123` y `audit.checkmarx.cx => 94[.]154[.]172[.]43`. * Usar SHAs fijados (pinned). * Revertir a versiones seguras conocidas. * Rotar secretos y credenciales si se sospecha o confirma un compromiso. Las últimas versiones seguras de los proyectos comprometidos son: * **DockerHub KICS**: v2.1.20 * **Checkmarx** ast-github-action: v2.3.36 * Extensiones de **Checkmarx VS Code**: v2.64.0 * Extensión **Checkmarx** Developer Assist: v1.18.0