🔍 Contexte
Source : BleepingComputer, publié le 11 mai 2026. Checkmarx, société spécialisée en sécurité applicative, a alerté le week-end du 10-11 mai 2026 de la publication d’une version malveillante de son plugin Jenkins AST sur le Jenkins Marketplace. Il s’agit du troisième incident d’une série d’attaques supply-chain subies par Checkmarx depuis fin mars 2026.
🎯 Déroulement de l’attaque
Le groupe TeamPCP a obtenu des credentials d’accès aux dépôts GitHub de Checkmarx lors d’une attaque antérieure sur le scanner de vulnérabilités Trivy en mars 2026. Ces credentials n’ayant pas été révoqués, les attaquants ont maintenu un accès pendant au moins un mois.
Avec cet accès, TeamPCP a :
- Publié des versions modifiées de plusieurs outils développeurs sur GitHub, Docker et VSCode contenant du code de vol de credentials
- Publié une version malveillante de l’outil KICS analysis tool sur Docker, Open VSX et VSCode, collectant des données depuis les environnements développeurs
- Le 9 mai 2026, publié la version 2026.5.09 du plugin Jenkins AST sur
repo.jenkins-ci.org, en dehors du pipeline de release officiel
Le message laissé par les attaquants dans la section “about” du plugin : “Checkmarx fails to rotate secrets again. With love - TeamPCP.”
🧩 Indicateurs de compromission du plugin malveillant
- Version malveillante : 2026.5.09
- Absence de git tag et de GitHub release
- Non-conformité au schéma de versioning officiel basé sur les dates
- Publié sur
repo.jenkins-ci.orghors pipeline officiel
📦 Artefacts malveillants
Checkmarx a publié une liste d’artefacts malveillants utilisables comme IoCs pour les défenseurs.
🔗 Contexte élargi
TeamPCP est également à l’origine des campagnes Shai-Hulud sur npm. En parallèle, fin avril, le groupe LAPSUS$ a été confirmé comme responsable d’une fuite de données depuis un dépôt GitHub privé de Checkmarx.
📰 Nature de l’article
Annonce d’incident combinée à une alerte de sécurité, visant à informer les utilisateurs du plugin Jenkins AST de Checkmarx de la compromission et à fournir des éléments de détection.
🧠 TTPs et IOCs détectés
Acteurs de menace
- TeamPCP (cybercriminal) — orkl.eu · Malpedia
- LAPSUS$ (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK
TTP
- T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
- T1078 — Valid Accounts (Initial Access)
- T1555 — Credentials from Password Stores (Credential Access)
- T1176 — Browser Extensions (Persistence)
- T1059 — Command and Scripting Interpreter (Execution)
- T1567 — Exfiltration Over Web Service (Exfiltration)
IOC
Malware / Outils
- Checkmarx Jenkins AST plugin (version malveillante 2026.5.09) (stealer)
- KICS analysis tool (version malveillante) (stealer)
🟡 Indice de vérification factuelle : 61/100 (moyenne)
- ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
- ✅ 4040 chars — texte complet (15pts)
- ✅ 1 IOC(s) (6pts)
- ⬜ 0/1 IOCs confirmés externellement (0pts)
- ✅ 6 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : TeamPCP, LAPSUS$ (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.bleepingcomputer.com/news/security/official-checkmarx-jenkins-package-compromised-with-infostealer/