Checkmarx KICSの公式DockerイメージとVS Code拡張機能が悪意あるコードで汚染

概要

セキュリティ企業Socketが、公式「checkmarx/kics」DockerHubリポジトリに悪意あるイメージがアップロードされたことを警告しました。未確認の脅威者がv2.1.20やalpineなどの既存タグを上書きし、公式リリースに対応しないv2.1.21というタグも新たに追加しました。KICSはコード品質検査ツール（Static Application Security Testing）で、開発者が使用する広範囲のツールやVS Code拡張機能にも影響が及ぶ可能性があります。このサプライチェーン攻撃（ソフトウェアの配布過程を狙った攻撃）により、多数の開発組織が知らずにマルウェアを導入するリスクにさらされています。ユーザーは信頼できるバージョンの確認と即座の更新、提供元の検証が急務です。

元記事（The Hacker News）