🔍 Contexte

Cet article est une mise à jour officielle publiée par Checkmarx le 9 mai 2026 sur leur blog, relatant un incident de sécurité supply chain en cours ayant débuté le 23 mars 2026. L’article compile plusieurs mises à jour successives (23 mars, 22 avril, 26 avril, 27 avril, 9 mai 2026).

🗓️ Chronologie de l’incident

  • 23 mars 2026 : Checkmarx identifie un incident supply chain lié à l’attaque TeamPCP ciblant le scanner Trivy (signalée le 19 mars). Des artefacts malveillants sont publiés sur OpenVSX et dans des GitHub Actions. L’attaquant pousse du code malveillant directement dans les dépôts GitHub de Checkmarx.
  • 30 mars 2026 : Exfiltration de données depuis les dépôts GitHub de Checkmarx.
  • 22 avril 2026 : Deuxième vague de publications d’artefacts malveillants (KICS DockerHub, ast-github-action, extensions VS Code), indiquant un accès persistant ou renouvelé de l’attaquant.
  • 25 avril 2026 : LAPSUS$ publie sur le dark web des données estampillées du 30 mars, issues des dépôts GitHub de Checkmarx.
  • 9 mai 2026 : Publication d’une version malveillante du plugin Jenkins AST (version 2026.5.09) sur le Jenkins Marketplace.

🎯 Artefacts compromis

Vague 1 (23 mars 2026) :

  • ast-results-2.53.0.vsix (OpenVSX, 02:53–15:41 UTC)
  • cx-dev-assist-1.7.0.vsix (OpenVSX, 02:53–15:41 UTC)
  • checkmarx/ast-github-action (GitHub Actions, 12:58–16:50 UTC)
  • checkmarx/kics-github-action (GitHub Actions, 12:58–16:50 UTC)

Vague 2 (22 avril 2026) :

  • KICS DockerHub (checkmarx/kics) : tags malveillants v2.1.20-debian, v2.1.21-debian, debian, latest, etc. (12:31–12:59 UTC)
  • ast-github-action : tag 2.3.35 (14:17–15:41 UTC)
  • VS Code extension ast-results : tags 2.63, 2.66 (13:06–17:48 UTC Microsoft ; 13:06–21:20 UTC OpenVSX)
  • VS Code extension cx-dev-assist : tags 1.17, 1.19 (13:06–17:48 UTC Microsoft ; 13:06–21:20 UTC OpenVSX)

Vague 3 (9 mai 2026) :

  • Plugin Jenkins AST : version 2026.5.09 (01:25 UTC 9 mai – 08:47 UTC 10 mai)

🧩 Vecteur initial

L’accès initial est attribué à l’attaque supply chain TeamPCP ciblant Trivy, qui aurait permis à l’attaquant de collecter des credentials et d’obtenir un accès non autorisé aux dépôts GitHub de Checkmarx.

💥 Impact

  • Objectif principal du code malveillant : collecte et exfiltration de credentials et secrets depuis les environnements affectés (CI/CD pipelines, postes développeurs).
  • Exfiltration confirmée : données issues des dépôts GitHub de Checkmarx, publiées par LAPSUS$ le 25 avril 2026.
  • Les environnements de production clients et les données clients ne sont pas identifiés comme compromis.
  • CxSAST on-premise : hors périmètre des artefacts compromis.

🛡️ Réponse de Checkmarx

  • Suppression des artefacts malveillants et publication d’artefacts propres
  • Rotation des credentials exposés
  • Blocage des accès sortants vers l’infrastructure attaquante
  • Engagement de Mandiant pour l’investigation forensique
  • Notification des forces de l’ordre
  • Verrouillage des dépôts GitHub affectés
  • Audit de code en cours

📄 Nature de l’article

Il s’agit d’un rapport d’incident officiel et évolutif publié par le vendeur, visant à informer les clients et la communauté cybersécurité sur l’étendue, la chronologie et les mesures de remédiation d’un incident supply chain majeur.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1554 — Compromise Client Software Binary (Persistence)
  • T1059 — Command and Scripting Interpreter (Execution)

IOC

🟢 Indice de vérification factuelle : 95/100 (haute)

  • ✅ checkmarx.com — source reconnue (Rösti community) (20pts)
  • ✅ 21065 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 31 IOCs dont des hashes (15pts)
  • ✅ 5/9 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : LAPSUS$ (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 91.195.240.123 (ip) → VT (14/92 détections) + ThreatFox (AsyncRAT)
  • 94.154.172.43 (ip) → AbuseIPDB (60% confiance, 49 signalements) + VT (26/92 détections)
  • checkmarx.cx (domain) → VT (22/92 détections) + ThreatFox (Unknown malware)
  • audit.checkmarx.cx (domain) → VT (23/92 détections) + ThreatFox (Unknown malware)
  • updates.checkmarx.cx (domain) → VT (17/92 détections)

🔗 Source originale : https://checkmarx.com/blog/ongoing-security-updates/?is=e4f6b16c6de31130985364bb824bcb39ef6b2c4e902e4e553f0ec11bdbefc118