**Checkmarx** emitiu um aviso durante o fim de semana sobre uma versão comprometida de seu plugin Jenkins Application Security Testing (AST) que havia sido publicada no Jenkins Marketplace. Este comprometimento é atribuído ao grupo hacker **TeamPCP**, conhecido por iniciar uma série de ataques à cadeia de suprimentos, incluindo as campanhas **Shai-Hulud** no npm e a violação do scanner de vulnerabilidades **Trivy**, que resultou na distribuição de malware para roubo de credenciais. Jenkins é uma solução de automação de Integração Contínua/Implantação Contínua (CI/CD) amplamente utilizada, crucial para compilação de software, testes, escaneamento de código, empacotamento de aplicações e implantação de atualizações em servidores. O **plugin Checkmarx AST** no Jenkins Marketplace é projetado para integrar a varredura de segurança em pipelines automatizados. "Estamos cientes de que uma versão modificada do plugin Checkmarx Jenkins AST foi publicada no Jenkins Marketplace. Estamos no processo de publicar uma nova versão deste plug-in", declarou Checkmarx em uma atualização. Este incidente marca o terceiro ataque à cadeia de suprimentos que a **Checkmarx** enfrentou desde o final de março. De acordo com um engenheiro de segurança ofensiva, o **TeamPCP** obteve acesso não autorizado aos repositórios GitHub da Checkmarx e adicionou um backdoor ao plugin Jenkins AST para entregar malware que rouba credenciais. Um porta-voz da empresa confirmou que o ator de ameaça obteve credenciais para os repositórios a partir do ataque à cadeia de suprimentos **Trivy** em março. Os hackers deixaram uma mensagem afirmando: "Checkmarx falha em rotacionar segredos novamente. Com carinho - TeamPCP."  "Como resultado desse acesso, os atacantes conseguiram interagir com o ambiente GitHub da Checkmarx e, subsequentemente, publicar código malicioso em certos artefatos", explicou o porta-voz da empresa. Usando credenciais roubadas no ataque **Trivy**, os hackers publicaram versões modificadas de várias ferramentas de desenvolvedor no GitHub, Docker e VSCode que incluíam código de roubo de informações. O ator de ameaça manteve acesso por pelo menos um mês antes de publicar uma versão maliciosa da ferramenta **KICS analysis tool** da empresa no Docker, Open VSX e VSCode, que coletava dados de ambientes de desenvolvedores. No final de abril, a empresa confirmou que o grupo de ameaças **LAPSUS$** vazou dados roubados de seu repositório privado do GitHub. No sábado, 9 de maio, uma versão maliciosa (2026.5.09) do plugin Checkmarx Jenkins AST foi carregada em repo.jenkins-ci.org. Esta atualização, fora do pipeline de lançamento do plugin, continha código malicioso. Notavelmente, o plugin malicioso se desviou do esquema oficial de estilo de data e não possuía uma tag git e um release no GitHub. A Checkmarx está aconselhando os usuários a garantir que estão usando a versão 2.0.13-829.vc72453fa_1c16 do plugin, publicada em 17 de dezembro de 2025, ou uma versão anterior. Embora a Checkmarx não tenha divulgado detalhes específicos sobre as ações do plugin malicioso, os usuários que baixaram a versão maliciosa devem assumir que suas credenciais foram comprometidas. Eles são aconselhados a rotacionar todos os segredos e investigar movimentos laterais ou persistência. A Checkmarx afirma que seus repositórios GitHub são isolados de seu ambiente de produção de clientes e que nenhum dado do cliente é armazenado no repositório GitHub. "Comunicamos com nossos clientes durante todo este processo e continuaremos a fornecer atualizações relevantes à medida que mais informações estiverem disponíveis", declarou a empresa de cibersegurança, direcionando os clientes ao Portal de Suporte ou às seções de Atualizações de Segurança para recomendações. A Checkmarx publicou um conjunto de artefatos maliciosos que os defensores podem usar como indicadores de comprometimento (IoCs) em seus ambientes. [99% do que a Mythos encontrou ainda não foi corrigido.](https://hubs.li/Q04crVgD0) A IA encadeou quatro zero-days em um único exploit que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles funcionam e fecha o ciclo de remediação. [Garanta Sua Vaga](https://hubs.li/Q04crVgD0)