**Checkmarx** a émis un avertissement ce week-end concernant une version compromise de son plugin Jenkins Application Security Testing (AST) qui avait été publiée sur le Jenkins Marketplace. Cette compromission est attribuée au groupe de hackers **TeamPCP**, connu pour avoir initié une série d'attaques de la chaîne d'approvisionnement, y compris les campagnes **Shai-Hulud** sur npm et la brèche du scanner de vulnérabilités **Trivy**, qui ont entraîné la distribution de malwares dérobant des identifiants. Jenkins est une solution d'automatisation de l'Intégration Continue/Déploiement Continu (CI/CD) largement utilisée, essentielle pour la construction de logiciels, les tests, le scan de code, le packaging d'applications et le déploiement de mises à jour sur les serveurs. Le **plugin Checkmarx AST** sur le Jenkins Marketplace est conçu pour intégrer le scan de sécurité dans les pipelines automatisés. "Nous sommes conscients qu'une version modifiée du plugin Checkmarx Jenkins AST a été publiée sur le Jenkins Marketplace. Nous sommes en train de publier une nouvelle version de ce plugin", a déclaré Checkmarx dans une mise à jour. Cet incident marque la troisième attaque de la chaîne d'approvisionnement à laquelle **Checkmarx** a été confronté depuis fin mars. Selon un ingénieur en sécurité offensive, **TeamPCP** a obtenu un accès non autorisé aux dépôts GitHub de Checkmarx et a introduit un backdoor dans le plugin Jenkins AST pour distribuer un malware dérobant des identifiants. Un porte-parole de l'entreprise a confirmé que l'acteur de la menace avait obtenu les identifiants des dépôts lors de l'attaque de la chaîne d'approvisionnement **Trivy** en mars. Les hackers ont laissé un message indiquant : "Checkmarx ne parvient pas à faire tourner ses secrets à nouveau. Avec amour - TeamPCP."  "Suite à cet accès, les attaquants ont pu interagir avec l'environnement GitHub de Checkmarx et publier par la suite du code malveillant dans certains artefacts", a expliqué le porte-parole de l'entreprise. En utilisant les identifiants volés lors de l'attaque **Trivy**, les hackers ont publié des versions modifiées de plusieurs outils de développement sur GitHub, Docker et VSCode, qui contenaient du code d'exfiltration d'informations. L'acteur de la menace a maintenu l'accès pendant au moins un mois avant de publier une version malveillante de l'outil d'analyse **KICS** de l'entreprise sur Docker, Open VSX et VSCode, qui collectait des données des environnements de développement. Fin avril, l'entreprise a confirmé que le groupe de menace **LAPSUS$** avait divulgué des données volées de son dépôt GitHub privé. Samedi 9 mai, une version non autorisée (2026.5.09) du plugin Checkmarx Jenkins AST a été téléchargée sur repo.jenkins-ci.org. Cette mise à jour, en dehors du pipeline de publication du plugin, contenait du code malveillant. Notamment, le plugin malveillant s'écartait du schéma de style de date officiel et manquait d'un tag git et d'une release GitHub. Checkmarx conseille aux utilisateurs de s'assurer qu'ils utilisent la version 2.0.13-829.vc72453fa_1c16 du plugin, publiée le 17 décembre 2025, ou une version antérieure. Bien que Checkmarx n'ait pas divulgué de détails spécifiques sur les actions du plugin malveillant, les utilisateurs qui ont téléchargé la version non autorisée doivent supposer que leurs identifiants ont été compromis. Il leur est conseillé de faire tourner tous les secrets et de rechercher tout mouvement latéral ou persistance. Checkmarx affirme que ses dépôts GitHub sont isolés de son environnement de production client, et qu'aucune donnée client n'est stockée dans le dépôt GitHub. "Nous avons communiqué avec nos clients tout au long de ce processus et continuerons à fournir des mises à jour pertinentes à mesure que plus d'informations seront disponibles", a déclaré l'entreprise de cybersécurité, redirigeant les clients vers le Portail de Support ou les sections Mises à Jour de Sécurité pour obtenir des recommandations. Checkmarx a publié un ensemble d'artefacts malveillants que les défenseurs peuvent utiliser comme indicateurs de compromission (IoCs) au sein de leurs environnements. [99% de ce que Mythos a trouvé n'est toujours pas corrigé.](https://hubs.li/Q04crVgD0) L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du rendu et du système d'exploitation. Une vague de nouveaux exploits arrive. Au Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent et boucle la remédiation. [Réservez Votre Place](https://hubs.li/Q04crVgD0)