Кибератака на Checkmarx: вредоносный плагин для Jenkins и другие артефакты скомпрометированы через цепочку поставок

Первые признаки компрометации были зафиксированы 23 марта 2026 года. Как выяснилось в ходе расследования, исходной точкой проникновения стала атака на Trivy - известный сканер уязвимостей контейнеров и образов. Специалисты по кибербезопасности ещё 19 марта предупреждали, что кампания TeamPCP, нацеленная на Trivy, может использоваться для кражи учётных данных у пользователей ниже по цепочке. Сообщение Checkmarx официально признаёт, что этот вектор, вероятно, позволил злоумышленникам получить доступ к их репозиториям на платформе GitHub.

После проникновения в среду разработки Checkmarx атакующие начали публиковать вредоносные артефакты. Первая волна пришлась на 23 марта: в реестре OpenVSX появились поддельные версии двух расширений для редактора кода VS Code (ast-results версии 2.53.0 и cx-dev-assist версии 1.7.0). Параллельно были скомпрометированы два рабочих процесса GitHub Actions - checkmarx/ast-github-action и checkmarx/kics-github-action, в которые внедрили вредоносный код. Все эти компоненты доступны для скачивания всего несколько часов, после чего Checkmarx удалила их и опубликовала чистые версии. Однако на этом инцидент не закончился.

22 апреля 2026 года эксперты зафиксировали вторую волну атак. Злоумышленники снова получили доступ к репозиториям Checkmarx - либо через оставленные лазейки, либо в результате повторного взлома. На этот под удар попали ещё несколько артефактов: публичный образ контейнера KICS из реестра Docker Hub, GitHub Action ast-github-action (новая версия), а также расширения для VS Code и инструмент Developer Assist. Кроме того, как стало известно позднее, в магазине плагинов Jenkins была размещена вредоносная версия плагина Checkmarx AST Scanner под номером 2026.5.09. Специалисты компании настоятельно рекомендуют всем пользователям этого плагина убедиться, что они используют версию 2.0.13-829.vc72453fa_1c16, выпущенную 17 декабря 2025 года, или более раннюю.

25 апреля 2026 года хакерская группировка LAPSUS$, известная своими громкими атаками на крупные технологические компании, опубликовала в даркнете данные, похищенные из репозиториев Checkmarx. Сама эксфильтрация, по данным следствия, произошла ещё 30 марта - почти за месяц до публикации. Компания заявляет, что данные клиентов в GitHub-репозиториях не хранятся, и среда разработки отделена от производственной инфраструктуры Checkmarx One (облачного сервиса компании). Тем не менее факт утечки внутренней информации - включая исходный код, документацию и, возможно, ключи доступа - представляет серьёзную угрозу для всей экосистемы.

Для расследования инцидента Checkmarx привлекла компанию Mandiant - элитную фирму по реагированию на инциденты и цифровой криминалистике, а также уведомила правоохранительные органы. В ходе разбирательства специалисты выявили, что код в атакованных артефактах был нацелен в первую очередь на кражу учётных данных и секретов из заражённых сред. Полезная нагрузка собирала токены доступа к облачным провайдерам (AWS, Azure, Google Cloud), SSH-ключи, а также пароли к реестрам контейнеров. При этом Checkmarx не может подтвердить, что такая кража произошла в среде клиентов, поскольку выполнение вредоносного кода происходит на стороне пользователей, а не на серверах Checkmarx.

Какие выводы должны сделать специалисты по безопасности? Прежде всего необходимо проверить используемые версии всех перечисленных артефактов. Пользователям плагина Jenkins следует немедленно перейти на версию 2.0.13-829.vc72453fa_1c16 или более старую. Владельцам VS Code-расширений нужно убедиться, что они устанавливают только актуальные чистые версии: ast-results - 2.67.0, Developer Assist - 1.18.0 или 1.20.0. Тем, кто скачивал образы KICS из Docker Hub в период 22 апреля 2026 года с 12:31 до 12:59 UTC, требуется проверить SHA-хеши и, в случае совпадения с вредоносными, считать среду скомпрометированной.

Также критически важно заблокировать на межсетевых экранах домены и IP-адреса, связанные с инфраструктурой злоумышленников. Список включает checkmarx[.]cx (91.195.240[.]123), audit.checkmarx[.]cx (94.154.172[.]43), updates.checkmarx[.]cx (94.154.172[.]183) и checkmarx[.]zone. Для тех, кто использует GitHub Actions, необходимо удалить старые версии и перейти на ast-github-action версии 2.3.36 и kics-github-action версии 2.1.20. Все учётные данные, которые могли оказаться в зоне досягаемости заражённых раннеров, подлежат немедленной ротации.

Этот инцидент в очередной раз демонстрирует уязвимость современных цепочек поставок программного обеспечения. Даже крупный вендор с зрелыми практиками безопасности становится жертвой атаки, начавшейся с компрометации стороннего инструмента. Для защиты организации важно не только следить за обновлениями официальных источников, но и закреплять версии артефактов с помощью контрольных сумм, а также минимизировать автоматическое обновление инструментов из публичных реестров. Пока расследование Checkmarx продолжается, сообществу стоит сохранять повышенную бдительность при работе с любыми компонентами этого поставщика.

IPv4

• 91.195.240.123
• 94.154.172.183
• 94.154.172.43

Domains

• audit.checkmarx.cx
• checkmarx.cx
• checkmarx.zone
• updates.checkmarx.cx

URLs

• https://github.com/checkmarx/ast-github-action
• https://hub.docker.com/r/checkmarx/kics
• https://marketplace.visualstudio.com/items?itemName=checkmarx.ast-results
• https://marketplace.visualstudio.com/items?itemName=checkmarx.cx-dev-assist
• https://open-vsx.org/extension/checkmarx/ast-results
• https://open-vsx.org/extension/checkmarx/cx-dev-assist

SHA1

• 65e4fbfbfb66dfd4a6e2e521e879cfa1b5745282
• f430ce10bf8bb66ab133a257ab4063b8055d23de

SHA256

• 01ff1e56fd59a8fa525d97e670f7f297a1a204331b89b2cd4e36a9abc6419203
• 3ddb8967919a801b3c383e58cddceab21138134c6a26560d99e2672e86f36f2a
• 894c1a245f30ffe168f4dfda48f36ba5c1bc9da7d0f093a8095d8aed92d0fcd8
• db7e0a5eb292810fb9d68224596dd3fa887d094f37021073fb5b5b2a232bcd23
• f50a96d26a5b0beb29de4127e82b2bf350c21511e5a43d286e43f798dc6cd53f