文章总结： 2026年4月22日CheckmarxKICS的官方Docker镜像遭供应链攻击，恶意版本窃取开发凭证与云密钥并通过VSCode扩展扩散。攻击团伙TeamPCP利用篡改的镜像和扩展收集GitHub令牌、SSH密钥等数据，甚至注入恶意GitHubActions。安全团队需立即移除受影响组件、轮换所有凭证并固定Docker镜像摘要。 综合评分： 85 文章分类： 供应链安全,恶意软件,漏洞预警,云安全,安全运营

Checkmarx KICS 官方 Docker 镜像遭投毒

看雪学苑 看雪学苑

看雪学苑

2026年4月23日 17:59 上海

在小说阅读器读本章

去阅读

近期，IaC安全扫描工具Checkmarx KICS的官方Docker Hub仓库遭入侵，攻击者上传了被植入恶意代码的镜像，可能导致企业开发凭证、云密钥、API密钥等敏感数据被批量窃取。

Docker平台的内部监控于2026年4月22日首次发现KICS镜像标签存在异常活动，并立即向Socket安全研究团队发出预警。调查显示，攻击者不仅篡改了v2.1.20、alpine、debian、latest等多个现有标签，还伪造了不存在的v2.1.21版本镜像。目前受影响的标签已被官方恢复为合法版本，仓库也已临时归档。

作为广泛应用于DevOps与安全团队的开源工具，KICS用于扫描Terraform、CloudFormation、Kubernetes配置中的安全漏洞，其在CI/CD流水线中的高普及率使其成为供应链攻击的“高价值目标”。

恶意代码如何窃取数据？

被篡改的KICS镜像中，原本的Go语言ELF二进制文件被植入了未授权的遥测与数据外渗功能。恶意程序会生成未脱敏的IaC扫描报告，加密后通过https://audit.checkmarx[.]cx/v1/telemetry发送至攻击者控制的服务器。受感染的企业需立即认定所有暴露给该环境的密钥均存在泄露风险。

值得注意的是，该攻击的C2服务器地址与另一款恶意JavaScript工具mcpAddon.js一致，表明这是一场协同设计的多组件攻击。

VS Code扩展同步被武器化

调查进一步发现，攻击范围不止Docker Hub：Checkmarx旗下的VS Code与Open VSX扩展也出现了被篡改版本，包括cx-dev-assist 1.17.0/1.19.0、ast-results 2.63.0/2.66.0。这些扩展在激活后，会从官方仓库一个被篡改的历史提交中下载mcpAddon.js，并在未验证完整性的情况下通过Bun运行。

这个约10MB的混淆脚本是一个功能完备的凭证窃取工具，可批量收集GitHub令牌、AWS/Azure/GCP云凭证、npm配置、SSH密钥与环境变量。攻击者还会利用窃取的GitHub令牌，向受害者有权限的仓库注入恶意GitHub Actions工作流，通过${{ toJSON(secrets) }}窃取整个仓库的密钥上下文；被盗的npm令牌则被用于篡改下游依赖包，实现供应链的链式传播。

此次攻击的幕后团伙TeamPCP在社交媒体公开认领，并嘲讽开源分发机制，称“开源分发又为PCP公司带来了成功的一天”。该团伙曾在2026年3月发起类似攻击，目标包括Checkmarx GitHub Actions、OpenVSX插件，以及Trivy、LiteLLM等热门工具。

企业紧急处置指南

安全团队需立即采取以下措施：

1.移除所有受影响的KICS Docker镜像、VS Code扩展与GitHub Actions，排查CI/CD流水线；

2.轮换所有受影响的凭证，包括GitHub令牌、npm令牌、云密钥、SSH密钥与CI/CD密钥；

3.审计GitHub仓库，检查是否存在未授权工作流、可疑分支与恶意命名的公开仓库；

4.监控对外连接，排查访问恶意IP与域名的行为，警惕未授权的Bun运行进程；

5.将Docker镜像引用固定为验证过的SHA256摘要，而非易变标签。

Socket研究团队已向Checkmarx通报事件细节，并持续更新技术分析报告。目前所有受影响的镜像标签已恢复为合法版本，但企业仍需保持高度警惕，防范后续关联攻击。

资讯来源：The Hacker News、Cyber Security News

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《Checkmarx KICS 官方 Docker 镜像遭投毒》