Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Успеть за 83 минуты. Разработчиков взломали через сканер уязвимостей Checkmarx KICS

leer en español

Checkmarx GitHub AWS токен цепочка поставок
Успеть за 83 минуты. Разработчиков взломали через сканер уязвимостей Checkmarx KICS
Checkmarx GitHub AWS токен цепочка поставок

Что известно об атаке на цепочку поставок Checkmarx.

image

Злоумышленники незаметно подменили популярный инструмент, которым проверяют код, и успели встроить в него вредоносный компонент, который крал пароли и ключи прямо из рабочих сред разработчиков.

Речь идёт о KICS (Keeping Infrastructure as Code Secure) – бесплатном инструменте с открытым исходным кодом, который помогает находить уязвимости в исходниках, зависимостях и конфигурационных файлах. Разработчики обычно запускают KICS локально или через Docker, при этом инструмент обрабатывает чувствительные данные: учётные записи, токены, ключи доступа и детали внутренней архитектуры.

Компания Socket начала расследовать инцидент после того, как Docker предупредил о вредоносных образах в официальном репозитории checkmarx/kics на Docker Hub. Когда специалисты проверили компоненты, выяснилось, что проблема не ограничилась заражёнными Docker-образами. Вредоносный код проник также в расширения для Visual Studio Code и Open VSX.

Внутри этих расширений находилась скрытая функция под названием «MCP addon». Компонент загружал с жёстко заданного адреса на GitHub файл mcpAddon.js – модуль, который собирал учётные данные и распространялся дальше. Программа целенаправленно искала именно ту информацию, с которой работает KICS: токены GitHub, учётные данные облачных сервисов Amazon Web Services, Microsoft Azure и Google Cloud, токены npm, SSH-ключи, конфигурации Claude и переменные окружения.

Собранные данные вредоносный код шифровал и отправлял на домен audit.checkmarx.cx, который маскировался под инфраструктуру Checkmarx. Кроме того, программа автоматически создавала публичные репозитории на GitHub и выгружала данные туда.

Docker-образы подменили лишь на короткое время: злоумышленники перенаправили теги на вредоносные версии с 22 апреля 2026 года с 14:17:59 до 15:41:31 по всемирному координированному времени. После этого теги вернули к нормальным версиям, а поддельный тег v2.1.21 удалили. Любой, кто скачал заражённые версии в указанный период, должен считать свои учётные данные скомпрометированными, немедленно сменить ключи и токены и пересобрать рабочее окружение из проверенной копии.

Ответственность за атаку пока не установлена. Группировка TeamPCP, ранее связанная с масштабной атакой на цепочку поставок Trivy и LiteLLM, заявила, что причастна к атаке, однако специалисты не нашли достаточных доказательств и ограничились косвенными совпадениями. Компания Checkmarx опубликовала бюллетень безопасности и заявила, что удалила все вредоносные компоненты. Скомпрометированные учётные данные уже отозвали и заменили. Сторонние специалисты продолжают расследовать инцидент.

Пользователям KICS советуют заблокировать доступ к доменам checkmarx.cx (91.195.240.123) и audit.checkmarx.cx (94.154.172.43), использовать фиксированные хэши версий, вернуться к безопасным сборкам и сменить все учётные данные при малейших подозрениях. Безопасными версиями сейчас считаются: Docker-образ KICS v2.1.20, действие Checkmarx ast-github-action v2.3.36, расширение для Visual Studio Code v2.64.0 и расширение Checkmarx Developer Assist v1.18.0.