Checkmarx Jenkins AST プラグインがサプライチェーン攻撃で侵害

概要

Checkmarxが提供するJenkins AST（アプリケーション・セキュリティ・テスティング）プラグインの悪意あるバージョンが、先週遅くにJenkins Marketplace（Jenkinsの公式プラグイン配布サイト）に公開されました。これはサプライチェーン攻撃の典型的な例であり、攻撃者が正規のプラグイン配布チャネルを悪用して、多数のJenkins利用企業に悪意あるコードを配信する可能性がありました。Jenkins Marketplaceは多くの組織のCI/CD（継続的インテグレーション・継続的デリバリー）パイプラインで信頼されているため、影響範囲は広大です。ユーザーは直ちにプラグインのバージョンを確認し、悪意あるバージョンをアンインストール・更新することが急務です。

元記事（SecurityWeek）