Checkmarx Jenkins-plugin besmet in nieuwe supply chain-aanval

In dit artikel:

Een gemanipuleerde versie van de Checkmarx Jenkins AST-plugin is in de Jenkins Marketplace verschenen en is door Checkmarx bevestigd als beveiligingsincident (CVE-2026-33634, CVSS 9.4). De aanvallers, de hackersgroep TeamPCP, heeft de GitHub-repository omgedoopt met provocerende namen en de plugin-release voorzien van een backdoor; Jenkins‑installs die versie 2026.5.09 gebruikten draaien daardoor een gecompromitteerde plugin.

De malware is in Dune‑stijl verpakt: gecompromitteerde release‑accounts kregen fantasienamen zoals kralizec‑navigator‑709 en beschrijvingen als “A Mini Shai‑Hulud has Appeared.” Dit vormt geen op zichzelf staande zaak — TeamPCP dook eerder op in maart 2026 toen zij meerdere Checkmarx‑GitHub‑actions en meer dan 66 npm‑pakketten besmetten, en mogelijk ruim 1.000 enterprise‑SaaS‑omgevingen blootstelden. De groep richt zich typisch op de software‑supply‑chain en zoekt naar cloud‑credentials, npm‑tokens en SSH‑sleutels op developer‑endpoints.

Actieadvies: draai alleen de bekende schone pluginversie 2.0.13‑829.vc72453fa_1c16 (17 dec 2025). Wie 2026.5.09 heeft geïnstalleerd moet onmiddellijk alle secrets roteren die de Jenkins‑runner kon zien (GitHub‑tokens, AWS/GCP/Azure‑credentials, kubeconfigs, Docker‑inloggegevens, SSH‑sleutels). Controleer buildlogs op uitgaand verkeer naar onbekende domeinen en zoek in organisaties naar Dune‑achtige repo‑namen. Checkmarx werkt aan een schone release en zal updates verstrekken. Extra beschermingsmaatregelen: beperk CI‑rechten, draai met minimale toegangsrechten en monitor CI/CD‑activiteiten nauwgezet.