Des pirates ont réussi à compromettre les images **Docker**, **VSCode** et les extensions **Open VSX** associées à l'outil d'analyse **Checkmarx KICS**. L'objectif de cette violation était d'exfiltrer des données sensibles directement depuis les environnements de développement. ### Qu'est-ce que KICS ? **KICS** (Keeping Infrastructure as Code Secure) est un scanner de sécurité gratuit et open-source conçu pour aider les développeurs à identifier les vulnérabilités dans le code source, les dépendances et les fichiers de configuration. Il est couramment utilisé localement via CLI ou **Docker**, traitant des configurations d'infrastructure sensibles qui contiennent souvent des identifiants, des jetons et des détails sur l'architecture interne. La société de sécurité des dépendances **Socket** a lancé une enquête suite à une alerte de **Docker** concernant des images malveillantes poussées vers le dépôt officiel `checkmarx/kics` sur **Docker Hub**. L'enquête a révélé que la compromission s'étendait au-delà de l'image **Docker KICS** troyanisée aux extensions **VS Code** et **Open VSX**. Ces extensions téléchargeaient une fonctionnalité cachée appelée 'MCP addon', conçue pour récupérer un malware voleur de secrets. ### Le malware 'MCP Addon' **Socket** a découvert que la fonctionnalité 'MCP addon' téléchargeait un composant de vol d'identifiants multi-étapes, nommé `mcpAddon.js`, à partir d'une URL **GitHub** codée en dur. Selon les chercheurs, le malware cible spécifiquement les données traitées par **KICS**, y compris les jetons **GitHub**, les identifiants cloud pour **AWS**, **Azure** et **Google Cloud**, les jetons **npm**, les clés **SSH**, les configurations **Claude** et les variables d'environnement. Les données volées sont ensuite chiffrées et exfiltrées vers `audit.checkmarx[.]cx`, un domaine usurpant l'infrastructure légitime de **Checkmarx**. De plus, le malware crée automatiquement des dépôts **GitHub** publics pour l'exfiltration des données. .jpg) _Source : Socket_ ### Chronologie de l'attaque Il est crucial de noter que les tags **Docker** ont été temporairement redirigés vers un digest malveillant. L'impact dépend du moment où les images ont été téléchargées. La période dangereuse pour l'image **DockerHub KICS** s'étendait du 2026-04-22 14:17:59 UTC au 2026-04-22 15:41:31 UTC. Les tags affectés ont été restaurés à leurs digests d'image légitimes, et le faux tag `v2.1.21` a été complètement supprimé. ### Étapes de remédiation Les développeurs qui ont téléchargé les images compromises pendant la période spécifiée doivent considérer leurs secrets comme compromis. Les actions immédiates incluent : * Réinitialiser tous les secrets dès que possible. * Reconstruire les environnements à partir d'un point de référence sûr connu. Bien que les pirates de **TeamPCP**, qui ont revendiqué la responsabilité des compromissions de la chaîne d'approvisionnement de **Trivy** et **LiteLLM**, aient également revendiqué cette attaque, les chercheurs n'ont pas trouvé suffisamment de preuves pour attribuer définitivement l'attaque au-delà des corrélations basées sur les schémas. ### Réponse de Checkmarx **Checkmarx** a publié un bulletin de sécurité concernant l'incident, assurant aux utilisateurs que tous les artefacts malveillants ont été supprimés et que leurs identifiants exposés ont été révoqués et réinitialisés. L'entreprise enquête activement sur l'incident avec l'aide d'experts externes et a promis de fournir de nouvelles mises à jour. Les utilisateurs de l'outil compromis sont invités à : * Bloquer l'accès à `checkmarx.cx => 91[.]195[.]240[.]123` et `audit.checkmarx.cx => 94[.]154[.]172[.]43`. * Utiliser des SHAs épinglés. * Revenir à des versions sûres connues. * Réinitialiser les secrets et les identifiants si une compromission est suspectée ou confirmée. Les dernières versions sûres des projets compromis sont : * **DockerHub KICS** : v2.1.20 * **Checkmarx** ast-github-action : v2.3.36 * Extensions **Checkmarx VS Code** : v2.64.0 * Extension **Checkmarx** Developer Assist : v1.18.0