**Checkmarx** は週末にかけて、Jenkins Marketplace に公開された同社の Jenkins Application Security Testing (AST) プラグインの侵害されたバージョンについて警告を発しました。 この侵害は、npm における **Shai-Hulud** キャンペーンや **Trivy** 脆弱性スキャナーの侵害など、一連のサプライチェーン攻撃を開始したことで知られるハッカーグループ **TeamPCP** によるものとされています。これらの攻撃により、認証情報窃盗型マルウェアが配布されました。 Jenkins は、ソフトウェアのビルド、テスト、コードスキャン、アプリケーションパッケージング、サーバーへのアップデート展開に不可欠な、広く使用されている継続的インテグレーション/継続的デプロイメント (CI/CD) 自動化ソリューションです。 Jenkins Marketplace 上の **Checkmarx AST プラグイン**は、セキュリティスキャンを自動化されたパイプラインに統合するように設計されています。 「Checkmarx Jenkins AST プラグインの改変されたバージョンが Jenkins Marketplace に公開されたことを認識しています。現在、このプラグインの新しいバージョンを公開するプロセスを進めています」と Checkmarx はアップデートで述べています。 このインシデントは、**Checkmarx** が 3 月下旬以降に直面した 3 度目のサプライチェーン攻撃となります。 あるオフェンシブセキュリティエンジニアによると、**TeamPCP** は Checkmarx の GitHub リポジトリへの不正アクセスを獲得し、Jenkins AST プラグインにバックドアを仕掛けて認証情報窃盗型マルウェアを配信したとのことです。 同社の広報担当者は、攻撃者が 3 月の **Trivy** サプライチェーン攻撃でリポジトリへの認証情報を取得したことを確認しました。 ハッカーは「Checkmarx は再びシークレットをローテーションしない。愛を込めて - TeamPCP」というメッセージを残していました。  「そのアクセスにより、攻撃者は Checkmarx の GitHub 環境とやり取りし、その後、特定のアーティファクトに悪意のあるコードを公開することができました」と広報担当者は説明しました。 **Trivy** 攻撃で盗まれた認証情報を使用して、ハッカーは GitHub、Docker、VSCode 上の複数の開発者ツールに、情報窃盗コードを含む改変されたバージョンを公開しました。 攻撃者は、同社の **KICS 分析ツール**の悪意のあるバージョンを Docker、Open VSX、VSCode に公開するまで、少なくとも 1 か月間アクセスを維持していました。このツールは開発者環境からデータを収集していました。 4 月下旬には、**LAPSUS$** 脅威グループが同社のプライベート GitHub リポジトリから盗まれたデータを漏洩したことが確認されました。 5 月 9 日土曜日、Checkmarx Jenkins AST プラグインの不正なバージョン（2026.5.09）が repo.jenkins-ci.org にアップロードされました。プラグインのリリースパイプライン外で行われたこのアップデートには、悪意のあるコードが含まれていました。 特に、悪意のあるプラグインは公式の日付スタイルスキームから逸脱しており、git タグと GitHub リリースがありませんでした。 Checkmarx は、ユーザーが 2025 年 12 月 17 日に公開されたプラグインのバージョン 2.0.13-829.vc72453fa_1c16 またはそれ以前のバージョンを使用していることを確認するよう推奨しています。 Checkmarx は悪意のあるプラグインの具体的な動作については詳細を明らかにしていませんが、不正なバージョンをダウンロードしたユーザーは、認証情報が侵害されたと想定すべきです。すべてのシークレットをローテーションし、ラテラルムーブメントや永続性の調査を行うことが推奨されます。 Checkmarx は、同社の GitHub リポジトリは顧客のプロダクション環境から隔離されており、GitHub リポジトリには顧客データは保存されていないと主張しています。 「私たちはこのプロセスを通じて顧客とコミュニケーションを取り、さらに情報が入手可能になり次第、関連するアップデートを提供し続けます」とサイバーセキュリティ企業は述べ、推奨事項についてはサポートポータルまたはセキュリティアップデートセクションを参照するよう顧客に指示しました。 Checkmarx は、防御者が環境内で侵害の兆候 (IoCs) として使用できる一連の悪意のあるアーティファクトを公開しました。 [99% of What Mythos Found Is Still Unpatched.](https://hubs.li/Q04crVgD0) AI が 4 つの zero-day を 1 つのエクスプロイトに連鎖させ、レンダラーと OS のサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が押し寄せます。 Autonomous Validation Summit (5 月 12 日 & 14 日) で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように見つけ、制御が有効であることを証明し、修正ループを閉じるかをご覧ください。 [Claim Your Spot](https://hubs.li/Q04crVgD0)