Checkmarx Jenkins AST プラグインがTeamPCPに侵害される

概要

セキュリティ企業Checkmarxが確認したところ、悪意のあるバージョンのJenkins AST プラグイン（ソフトウェア開発の自動化ツール）がJenkins マーケットプレイスに公開されていました。TeamPCPと呼ばれるサイバー犯罪集団は、GitHubのプラグインリポジトリに不正アクセスし、リポジトリ名を「Checkmarx-Fully-Hacked-by-TeamPCP」に変更しました。この事件はKICS Docker イメージやVS Code 拡張機能など複数の Checkmarx 製品が侵害された3月の事件からわずか数週間後に発生しています。セキュリティ専門家らは、初期の対応時に認証情報が完全にリセットされなかったか、侵害者が潜伏していた可能性が高いと指摘しています。Checkmarx は バージョン2.0.13-848.v76e89de8a_053を公開し、ユーザーは即座にアップデートする必要があります。

元記事（The Hacker News）