Checkmarx alati zaraženi malverom - Docker slike i VS Code ekstenzije kompromitovane
Docker slike KICS alata i VS Code ekstenzije Checkmarx-a zaražene malverom koji krade developer kredencijale i šalje ih napadačima.
Šta se desilo?
Napadači su uspeli da kompromituju zvanični Docker Hub repozitorijum Checkmarx-a i nekoliko VS Code ekstenzija, ubacivši malver koji krada developer kredencijale. Prema istraživanju kompanije Socket, kompromitovane Docker slike KICS alata i razvojne ekstenzije sadrže zlonamerene komponente za prikupljanje i slanje osetljivih podataka na server pod kontrolom napadača.
Koga pogađa?
Direktno su ugroženi razvojni timovi koji koriste Checkmarx KICS za skeniranje infrastructure-as-code fajlova (Terraform, CloudFormation, Kubernetes), kao i programeri koji su instalirali kompromitovane VS Code ekstenzije. Kompanije koje čuvaju AWS, Azure, Google Cloud kredencijale, GitHub tokene, SSH ključeve i druge sisteme kroz kompromitovane alate dolaze u rizik. Napadi su pogodili i druge proizvođače - Trivy, LiteLLM i Telnyx.
Kako se zaštititi?
- Odmah uklonite sve zasegnutne VS Code ekstenzije (verzije checkmarx/cx-dev-assist@1.17.0, 1.19.0 i checkmarx/ast-results@2.63.0, 2.66.0)
- Obbrišite kompromitovane Docker slike KICS alata iz vašeg okruženja
- Odmah izmenite sve developer kredencijale - GitHub tokene, AWS ključeve, Azure tokene, SSH ključeve i npm kredencijale
- Pregledajte sve GitHub Actions workflow-e u vašim repozitorijumima i obrišite nepoznate ili sumnjive tokove
- Proverite npm pakete koje ste preuzimali - napadači su ponovno objavili do 250 paketa sa malverom
- Analizirajte sve logove za neovlašćene aktivnosti, posebno dodavanje novih GitHub repozitorijuma ili workflow-a
- Ako ste koristili kompromitovane slike za skeniranje, tretirajte sve otkrivene kredencijale kao kompromitovane
Tehnički detalji
Kompromitovane Docker slike sadrže modificirani KICS binarni fajl napisan u Golang-u koji generiše enkriptovane izveštaje i šalje ih na endpoint audit.checkmarx[.]cx/v1/telemetry. VS Code ekstenzije koriste komponentu mcpAddon.js (oko 10MB) preuzetu sa GitHub-a koja prikuplja builder i cloud kredencijale (GitHub tokene, AWS, Azure, Google Cloud, SSH ključeve, NPM konfiguracije, environment varijable i MCP konfiguracije). Podaci se kompresuju, enkriptuju i šalju na isti C2 server ili se čuvaju u javnim GitHub repozitorijumima kreiranih ukradetim GitHub tokenima. Napadači koriste pattern <reč>-<reč>-<3 cifre> za nazive repozitorijuma (gesserit-melange-813, atreides-heighliner-520, itd.). Napadi uključuju i kreiranje GitHub Actions workflow-a za ekstrakciju CI/CD tajni i ponovno objavljivanje npm paketa sa malverom. Indikacije pokazuju da je grupa TeamPCP odgovorna - ista grupa je u martu 2026. kompromitovala Checkmarx GitHub Actions workflow-e.
Preporuka Sajber Radara
Kompanijama koje koriste Checkmarx alate preporučujemo HITNU akciju - potrebno je odmah rotirati sve kredencijale i ukloniti zaražene komponente iz produkcije. Ovo je kompleksan napada na lanac snabdevanja koji pokazuje da su razvojni alati postali prioritetna meta za napadače. Redovno audite alata koje koristite i pratite sigurnosne upozorenja od proizvođača.
