Les hackers de TeamPCP ciblent l'intégration de Checkmarx Jenkins
La société de cybersécurité Checkmarx a été victime d'une attaque sophistiquée de la chaîne d'approvisionnement le 9 mai 2026, lorsque des acteurs malveillants ont réussi à compromettre leur plugin Jenkins Application Security Testing (AST). La version malveillante a été téléchargée sur le marché officiel de Jenkins, exposant potentiellement des milliers d'équipes de développement utilisant l'outil d'analyse statique populaire dans leurs pipelines CI/CD.
L'attaque représente la dernière d'une série de compromissions de la chaîne d'approvisionnement ciblant les chaînes d'outils de développement. Les chercheurs en sécurité ont identifié le groupe de menaces derrière cet incident comme étant TeamPCP, les mêmes acteurs responsables d'intrusions précédentes dans l'infrastructure de développement logiciel. Le plugin compromis contenait du code malveillant obfusqué conçu pour s'exécuter pendant le processus de construction, donnant aux attaquants un accès potentiel aux dépôts de code source, aux artefacts de construction et aux informations d'identification de déploiement.
Selon l'enquête de The Register, le vecteur d'attaque impliquait la compromission des informations d'identification de publication de plugin de Checkmarx via une campagne de phishing ciblée contre leur équipe de développement. Les attaquants ont ensuite utilisé ces informations d'identification légitimes pour pousser une version backdoorée du plugin AST, version 2.4.17, qui semblait authentique aux administrateurs Jenkins téléchargeant des mises à jour.
Le plugin malveillant a maintenu la pleine fonctionnalité des capacités de balayage de sécurité d'origine tout en établissant secrètement des mécanismes de persistance au sein des environnements Jenkins affectés. Cette approche à double usage a permis à la compromission de rester indétectée pendant plusieurs jours, alors que les équipes de développement continuaient à utiliser le plugin pour des tests de sécurité légitimes sans se rendre compte que leurs environnements de construction avaient été infiltrés.
Les membres de l'équipe de sécurité Jenkins ont découvert la compromission lors de la surveillance de routine du marché lorsque des systèmes automatisés ont signalé des modèles de trafic réseau inhabituels provenant d'environnements exécutant la dernière version du plugin AST. Une analyse immédiate a révélé la présence de capacités d'exécution de code non autorisées et de mécanismes d'exfiltration de données intégrés dans les fonctions de balayage principales du plugin.
Environnements Jenkins exécutant le plugin AST de Checkmarx à risque
Les organisations utilisant Jenkins pour l'intégration et le déploiement continus avec le plugin AST de Checkmarx installé risquent une compromission potentielle de l'ensemble de leur cycle de développement logiciel. La version malveillante du plugin 2.4.17 affecte toute instance Jenkins qui a automatiquement mis à jour ou installé manuellement le plugin entre le 7 et le 10 mai 2026. Cela inclut les équipes de développement d'entreprise, les organisations DevOps et les fournisseurs de services gérés s'appuyant sur les capacités d'analyse statique de Checkmarx.
L'étendue de l'impact va au-delà de la simple fonctionnalité du plugin pour englober des composants critiques de l'infrastructure de développement. Les maîtres Jenkins affectés exécutant le plugin compromis pourraient fournir aux attaquants un accès aux dépôts de code source, aux secrets de construction, aux clés de déploiement et aux informations d'identification de l'environnement de production stockées dans les magasins d'informations d'identification Jenkins. Les équipes de développement utilisant des instances Jenkins partagées courent un risque particulièrement élevé, car une seule installation de plugin compromise pourrait exposer plusieurs projets et dépôts.
Les services financiers, les soins de santé et les organisations gouvernementales utilisant Checkmarx AST pour les analyses de conformité représentent des cibles de grande valeur pour le groupe TeamPCP. Ces secteurs maintiennent généralement des déploiements Jenkins étendus avec des privilèges élevés pour les processus de test et de déploiement automatisés. L'intégration du plugin avec des systèmes de contrôle de version comme Git, SVN et Perforce signifie que les attaquants pourraient potentiellement accéder à la propriété intellectuelle, aux données des clients et à la logique commerciale sensible à travers des portefeuilles logiciels entiers.
Les équipes de développement cloud-native utilisant des déploiements Jenkins conteneurisés font face à des risques supplémentaires, car le plugin malveillant pourrait échapper aux limites des conteneurs et compromettre les clusters Kubernetes sous-jacents ou l'infrastructure cloud. Les organisations avec des environnements de développement hybrides s'étendant sur des ressources sur site et cloud doivent évaluer à la fois les installations Jenkins locales et les instances hébergées dans le cloud pour détecter des signes de compromission.
Réponse immédiate et étapes d'atténuation pour les administrateurs Jenkins
Les administrateurs Jenkins doivent immédiatement supprimer la version 2.4.17 du plugin AST de Checkmarx de toutes les instances et revenir à la version précédente connue pour être bonne, la 2.4.16. L'équipe de sécurité Jenkins a mis sur liste noire la version malveillante, empêchant de nouvelles installations, mais les déploiements existants nécessitent une intervention manuelle. Les administrateurs doivent accéder au gestionnaire de plugins Jenkins, naviguer vers les plugins installés et désinstaller complètement le plugin AST de Checkmarx avant de réinstaller la version propre vérifiée.
Une évaluation complète de l'environnement nécessite d'examiner les journaux de construction Jenkins pour des connexions réseau inhabituelles, un accès non autorisé au système de fichiers ou une exécution de processus suspecte pendant la fenêtre de compromission du 7 au 10 mai 2026. Les équipes de sécurité doivent examiner les journaux des systèmes maîtres et agents Jenkins pour des indicateurs de compromission, y compris des connexions sortantes inattendues vers des adresses IP externes, des modèles d'utilisation inhabituels du CPU ou de la mémoire, et un accès non autorisé aux magasins d'informations d'identification ou aux artefacts de construction sensibles.
Les organisations doivent faire tourner toutes les informations d'identification accessibles aux environnements Jenkins, y compris les jetons d'accès aux dépôts de code source, les clés de déploiement, les informations d'identification des services cloud et les chaînes de connexion aux bases de données. L'analyse de Hacker News confirme que le plugin malveillant ciblait spécifiquement les mécanismes de stockage des informations d'identification Jenkins, rendant la rotation complète des informations d'identification essentielle pour prévenir un accès non autorisé continu.
La segmentation et la surveillance du réseau doivent être mises en œuvre immédiatement pour contenir un mouvement latéral potentiel à partir des environnements Jenkins compromis. Les règles de pare-feu doivent restreindre les communications des maîtres et agents Jenkins aux services essentiels uniquement, tandis que les outils de surveillance du réseau doivent suivre toutes les connexions à partir des systèmes affectés. Les équipes de développement doivent également analyser tous les dépôts de code pour des commits non autorisés, des branches suspectes ou des configurations de construction modifiées qui pourraient indiquer une altération du code source pendant la période de compromission.
