Jenkins-plug-in cybersecuritybedrijf Checkmarx voorzien van backdoor

In dit artikel:

Aanvallers wisten een officiële Jenkins-plug-in van Checkmarx te compromitteren door er een backdoor in te plaatsen. Checkmarx meldde afgelopen zaterdag dat een gemanipuleerde versie van de Jenkins AST-plug-in was gepubliceerd; inmiddels zijn er twee nieuwe releases beschikbaar waarin de malware is verwijderd. Gebruikers werden gevraagd te controleren dat ze de versie van december draaien.

De besmetting hangt samen met een eerdere supply-chain-aanval: in maart werden ontwikkelaars van de scanningtool Trivy (Aqua Security) gehackt, waarna kwaadwillenden een gemanipuleerde Trivy-release verspreidden die onder meer AWS-gegevens roofde. Met gestolen inloggegevens kregen de aanvallers toegang tot Checkmarx’ GitHub-repositories; uit die repositories ontvreemde data werd later openbaar gemaakt. Supply-chain compromittering blijft zo een risicovector voor ontwikkelomgevingen.