Pelanggaran rantai pasokan Checkmarx yang baru memengaruhi alat analisis KICS

Peretas telah menyusupi image Docker, VSCode, dan ekstensi Open VSX untuk alat analisis Checkmarx KICS guna mengambil data sensitif dari lingkungan pengembang.

KICS, kependekan dari Keeping Infrastructure as Code Secure, adalah pemindai sumber terbuka gratis yang membantu pengembang mengidentifikasi kerentanan keamanan dalam kode sumber, dependensi, dan file konfigurasi.

Alat ini biasanya dijalankan secara lokal melalui CLI atau Docker, dan memproses konfigurasi infrastruktur sensitif yang sering kali berisi kredensial, token, dan detail arsitektur internal.

Perusahaan keamanan ketergantungan Socket menyelidiki insiden tersebut setelah menerima peringatan dari Docker tentang gambar berbahaya yang dimasukkan ke repositori resmi checkmarx/kics Docker Hub.

Investigasi mengungkapkan bahwa kompromi tersebut melampaui image KICS Docker yang telah di trojan hingga ke ekstensi VS Code dan Open VSX yang mengunduh fitur ‘MCP addon’ tersembunyi yang dirancang untuk mengambil malware pencuri rahasia.

Socket menemukan bahwa fitur ‘MCP addon’ diunduh dari URL GitHub yang dikodekan dengan keras sebagai “komponen penyebaran dan pencurian kredensial multi-tahap” sebagai mcpAddon.js.

Menurut para peneliti, malware tersebut menargetkan secara tepat data yang diproses oleh KICS, termasuk token GitHub, kredensial cloud (AWS, Azure, Google Cloud), token npm, kunci SSH, konfigurasi Claude, dan variabel lingkungan.

Ia kemudian mengenkripsinya dan mengekstraknya audit.checkmarx[.]cxdomain yang dirancang untuk meniru infrastruktur Checkmarx yang sah. Selain itu, repositori GitHub publik secara otomatis dibuat untuk eksfiltrasi data.

Penting untuk diklarifikasi bahwa tag Docker untuk sementara diarahkan ulang ke intisari berbahaya, sehingga dampaknya bergantung pada waktu penarikannya. Jangka waktu berbahaya untuk image DockerHub KICS adalah dari 22-04-2026 14:17:59 UTC hingga 22-04-2026 15:41:31 UTC.

Tag yang terpengaruh kini telah dikembalikan ke intisari gambar sahnya, dan tag palsu v2.1.21 telah dihapus seluruhnya.

Pengembang yang telah mengunduh hal di atas harus menganggap rahasia mereka telah disusupi, merotasinya sesegera mungkin, dan membangun kembali lingkungan mereka dari titik aman yang diketahui.

Sedangkan para hacker TeamPCP, bertanggung jawab secara masif sepele Dan LiteLLM kompromi rantai pasokan, klaim serangan tersebut secara terbuka, para peneliti tidak dapat menemukan bukti yang cukup selain korelasi berbasis pola untuk dapat mengaitkannya dengan yakin.

BleepingComputer telah menghubungi Checkmarx, sebuah perusahaan pengujian keamanan aplikasi, untuk memberikan pernyataan, tetapi komentar tidak segera tersedia.

Sementara itu, perusahaan menerbitkan a buletin keamanan tentang insiden tersebutmeyakinkan pengguna bahwa semua artefak berbahaya telah dihapus, dan kredensial mereka yang terekspos telah dicabut dan dirotasi.

Perusahaan tersebut saat ini sedang melakukan penyelidikan dengan bantuan para ahli eksternal dan berjanji akan memberikan lebih banyak informasi jika sudah tersedia.

Pengguna alat yang disusupi disarankan untuk memblokir akses ke ‘checkmarx.cx => 91[.]195[.]240[.]123’ dan ‘audit.checkmarx.cx => 94[.]154[.]172[.]43,’ gunakan SHA yang disematkan, kembalikan ke versi aman yang diketahui, dan putar rahasia dan kredensial jika ada dugaan atau konfirmasi adanya penyusupan.

Versi aman terbaru dari proyek yang disusupi adalah: DockerHub KICS v2.1.20, Checkmarx ast-github-action v2.3.36, ekstensi Checkmarx VS Code v2.64.0, dan ekstensi Checkmarx Developer Assist v1.18.0.