**Checkmarx** emitió una advertencia durante el fin de semana sobre una versión comprometida de su plugin Jenkins Application Security Testing (AST) que había sido publicada en el Jenkins Marketplace. Este compromiso se atribuye al grupo de hackers **TeamPCP**, conocido por iniciar una serie de ataques a la cadena de suministro, incluidas las campañas **Shai-Hulud** en npm y la brecha del escáner de vulnerabilidades **Trivy**, que resultó en la distribución de malware para el robo de credenciales. Jenkins es una solución de automatización de Integración Continua/Despliegue Continuo (CI/CD) ampliamente utilizada, crucial para la compilación de software, pruebas, escaneo de código, empaquetado de aplicaciones y despliegue de actualizaciones a servidores. El **plugin Checkmarx AST** en el Jenkins Marketplace está diseñado para integrar el escaneo de seguridad en pipelines automatizados. "Somos conscientes de que se publicó una versión modificada del plugin Checkmarx Jenkins AST en el Jenkins Marketplace. Estamos en proceso de publicar una nueva versión de este plugin", declaró Checkmarx en una actualización. Este incidente marca el tercer ataque a la cadena de suministro que **Checkmarx** ha enfrentado desde finales de marzo. Según un ingeniero de seguridad ofensiva, **TeamPCP** obtuvo acceso no autorizado a los repositorios de GitHub de Checkmarx y añadió una backdoor al plugin Jenkins AST para distribuir malware para el robo de credenciales. Un portavoz de la empresa confirmó que el actor de la amenaza obtuvo credenciales para los repositorios del ataque a la cadena de suministro **Trivy** en marzo. Los hackers dejaron un mensaje que decía: "Checkmarx falla en rotar secretos de nuevo. Con cariño - TeamPCP".  "Como resultado de ese acceso, los atacantes pudieron interactuar con el entorno de GitHub de Checkmarx y posteriormente publicar código malicioso en ciertos artefactos", explicó el portavoz de la empresa. Utilizando credenciales robadas en el ataque **Trivy**, los hackers publicaron versiones modificadas de múltiples herramientas de desarrollador en GitHub, Docker y VSCode que incluían código para el robo de información. El actor de la amenaza mantuvo el acceso durante al menos un mes antes de publicar una versión maliciosa de la herramienta de análisis **KICS** de la empresa en Docker, Open VSX y VSCode, que recopiló datos de los entornos de desarrolladores. A finales de abril, la empresa confirmó que el grupo de amenazas **LAPSUS$** filtró datos robados de su repositorio privado de GitHub. El sábado 9 de mayo, una versión maliciosa (2026.5.09) del plugin Checkmarx Jenkins AST fue subida a repo.jenkins-ci.org. Esta actualización, fuera del pipeline de lanzamiento del plugin, contenía código malicioso. Notablemente, el plugin malicioso se desvió del esquema oficial de estilo de fecha y carecía de una etiqueta git y un lanzamiento en GitHub. Checkmarx está aconsejando a los usuarios que se aseguren de estar utilizando la versión 2.0.13-829.vc72453fa_1c16 del plugin, publicada el 17 de diciembre de 2025, o una versión anterior. Si bien Checkmarx no ha revelado detalles específicos sobre las acciones del plugin malicioso, se debe asumir que las credenciales de los usuarios que descargaron la versión maliciosa han sido comprometidas. Se les aconseja rotar todos los secretos e investigar movimientos laterales o persistencia. Checkmarx afirma que sus repositorios de GitHub están aislados de su entorno de producción de clientes, y que no se almacenan datos de clientes en el repositorio de GitHub. "Nos hemos comunicado con nuestros clientes durante todo este proceso y continuaremos proporcionando actualizaciones relevantes a medida que haya más información disponible", declaró la empresa de ciberseguridad, dirigiendo a los clientes al Portal de Soporte o a las secciones de Actualizaciones de Seguridad para recomendaciones. Checkmarx ha publicado un conjunto de artefactos maliciosos que los defensores pueden usar como indicadores de compromiso (IoCs) dentro de sus entornos. [El 99% de lo que Mythos encontró sigue sin parchear.](https://hubs.li/Q04crVgD0) AI encadenó cuatro zero-days en un solo exploit que eludió tanto los sandboxes del renderizador como los del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, prueba que los controles se mantienen y cierra el ciclo de remediación. [Reclama tu Lugar](https://hubs.li/Q04crVgD0)