Checkmarx đã xác nhận rằng một phiên bản đã bị chỉnh sửa của Jenkins AST plugin đã được đăng tải lên Jenkins Marketplace.
"Nếu bạn đang sử dụng Checkmarx Jenkins AST plugin, bạn cần đảm bảo rằng mình đang sử dụng phiên bản 2.0.13-829.vc72453fa_1c16 được phát hành vào ngày 17 tháng 12 năm 2025 hoặc trước đó," công ty an ninh mạng này cho biết trong một tuyên bố vào cuối tuần qua.
Tính đến thời điểm hiện tại, Checkmarx đã phát hành phiên bản 2.0.13-848.v76e89de8a_053 trên cả GitHub và Jenkins Marketplace, mặc dù bản cập nhật sự cố của họ vẫn lưu ý rằng họ "đang trong quá trình phát hành phiên bản mới của plugin này". Công ty không tiết lộ cách thức phiên bản plugin độc hại được đăng tải.
Diễn biến này là cuộc tấn công mới nhất do TeamPCP thực hiện nhằm vào Checkmarx. Nó diễn ra chỉ vài tuần sau khi nhóm tội phạm mạng khét tiếng này được xác định là đứng sau vụ xâm nhập hình ảnh Docker KICS, hai tiện ích mở rộng VS Code và một quy trình GitHub Actions để phát tán phần mềm độc hại đánh cắp thông tin đăng nhập.
Vụ xâm nhập này sau đó đã dẫn đến việc chiếm quyền điều khiển trong thời gian ngắn gói npm Bitwarden CLI để phục vụ một phần mềm đánh cắp tương tự, có khả năng thu thập nhiều loại bí mật của nhà phát triển.
TeamPCP có liên quan đến một loạt các vụ xâm nhập kể từ tháng 3 năm 2026 như một phần của chiến dịch lan rộng nhằm khai thác sự tin tưởng vốn có trong chuỗi cung ứng phần mềm để truyền bá phần mềm độc hại và mở rộng phạm vi tiếp cận của chúng.
Theo chi tiết được chia sẻ bởi nhà nghiên cứu bảo mật Adnan Khan và SOCRadar, TeamPCP được cho là đã có được quyền truy cập trái phép vào kho lưu trữ GitHub của plugin và đổi tên nó thành "Checkmarx-Fully-Hacked-by-TeamPCP-and-Their-Customers-Should-Cancel-Now".
Kho lưu trữ bị thay đổi giao diện cũng được cập nhật để bao gồm mô tả: "Checkmarx lại thất bại trong việc xoay vòng bí mật. Thân gửi – TeamPCP."
"Việc TeamPCP quay trở lại bên trong hệ thống của Checkmarx chỉ vài tuần sau đó chỉ ra một trong hai khả năng: hoặc việc khắc phục ban đầu không hoàn chỉnh và các thông tin xác thực không được xoay vòng đầy đủ, hoặc nhóm này vẫn giữ được bàn đạp chưa được xác định trong đợt phản ứng vào tháng 3," SOCRadar cho biết.
"Sự cố Checkmarx thứ hai xảy ra sớm như vậy cho thấy nhóm này đang tích cực theo dõi các điểm tái xâm nhập, kiểm tra hiệu quả của các biện pháp khắc phục trong quá khứ và tận dụng bất kỳ lỗ hổng nào."
