最新Checkmarx供应链投毒事件(2026.4.22)深度分析

admin
admin
admin
0
文章
0
评论
2026-04-26 04:32:16 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 2026年4月22日Checkmarx的KICS工具遭TeamPCP组织供应链攻击,攻击者通过Docker镜像标签劫持和VSCode插件投毒窃取云凭证与敏感配置。攻击手法包括篡改官方镜像、静默窃密、利用此前Trivy事件泄露的凭证进行跨平台攻击。事件暴露安全工具供应链脆弱性,建议企业立即固定镜像哈希、重置凭证、启用镜像签名等防护措施。 综合评分: 90 文章分类: 供应链安全,漏洞预警,解决方案,云安全,应用安全

cover_image

最新 Checkmarx 供应链投毒事件(2026.4.22 )深度分析

飓风网络安全

2026年4月23日 22:37 北京

在小说阅读器读本章

去阅读

事件核心:2026 年 4 月 22 日,Checkmarx 官方 KICS Docker Hub 镜像仓库 与 VS Code 插件 被 TeamPCP 组织再次攻陷,通过 标签劫持 + 镜像篡改 + 插件投毒 三重攻击,窃取企业云凭证与 IaC 敏感配置。

一、事件时间线(最新)

• 4 月 22 日:Docker 与 Socket 安全团队发现 checkmarx/kics 仓库异常,官方仓库被紧急归档。

• 4 月 23 日:完整攻击链曝光,确认与 3 月 Trivy 事件同源(TeamPCP 复用窃取凭证)。

• 同步:Checkmarx 紧急下架污染镜像与插件,发布安全版本与修复指南。

二、攻击载体与手法(最新细节)

  1. Docker Hub 镜像投毒(核心)

• 污染标签:

◦ 覆写官方标签:v2.1.20、alpine、debian、latest

◦ 伪造假版本:v2.1.21(无官方对应发布)

• 恶意载荷:

◦ 篡改 KICS 主二进制(Go 语言)

◦ 正常扫描 + 静默窃密双行为:生成未脱敏完整扫描报告(含云密钥、DB 串、AK/SK),加密后外发至 C2

◦ 伪装成官方遥测流量,无告警、无异常

  1. VS Code 插件二次投毒

• 受污染插件:

◦ ast-results v1.17.0 / 1.19.0

◦ cx-dev-assist v1.17.0 / 1.19.0

• 机制:通过 Bun 运行时 后台下载执行恶意模块,窃取本地 Git、SSH、云 CLI 凭证。

  1. 攻击根源:3 月 Trivy 事件的“凭证遗产”

• 攻击者从 Trivy GitHub Actions(CVE-2026-33634)窃取到 Checkmarx 共享高权限 CI 凭证

• 凭证包括:Docker Hub 推送令牌、GitHub PAT、VS Code 插件发布密钥

• 跨厂商凭证复用:一次窃取、多次攻击(Trivy → Checkmarx → LiteLLM)

三、TeamPCP 攻击战术进化(最新特点)

  1. 全链路覆盖:CI/CD Actions → Docker 镜像 → IDE 插件,覆盖开发全流程

  2. 标签劫持工业化:

◦ 强制覆写所有常用标签(latest/v2/alpine)

◦ 开发者不指定固定 SHA 即中招

  1. 合法流程嵌入:不破坏功能、静默窃取、结果正常,极难发现

  2. C2 域名仿冒:checkmarx.zone 高仿官方域名,日志易被忽略

四、影响与危害(最新评估)

• 直接:全球企业 Docker 拉取、CI 构建、本地 IDE 三重沦陷,云账号、K8s、数据库密钥批量泄露

• 次生:

◦ 持久化后门:未全量重置凭证将被反复入侵

◦ 下游污染:受害企业产品嵌入木马,传导至客户

◦ 合规重罚:违反 GDPR、等保 2.0 供应链安全要求

五、企业应急修复(最新官方步骤)

  1. 立即锁定镜像版本

不安全(标签)

docker pull checkmarx/kics:latest

安全(固定哈希)

docker pull checkmarx/kics@sha256:xxx…

  1. 全面凭证重置

◦ AWS/Azure/GCP 所有密钥、K8s config、Docker 凭据

◦ GitHub PAT、CI/CD 令牌、数据库密码

  1. 扫描排查

◦ 检测外发 checkmarx.zone 流量

◦ 用 socket.dev/checkmarx-scanner 检测污染镜像/插件

  1. 启用安全机制

◦ Docker:Docker Content Trust(镜像签名)

◦ GitHub:不可变标签(Immutable Tags)

◦ 插件:仅安装官方签名、哈希校验版本

六、核心安全反思(最新)

• 安全厂商是首要目标:攻击者专攻安全工具,掌控即掌控全局

• 默认信任 = 致命风险:任何镜像/Action/插件必须永不信任、始终验证

• 最小权限缺失:跨厂商、跨平台凭证复用是供应链最大软肋

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:飓风网络安全 《最新 Checkmarx 供应链投毒事件(2026.4.22 )深度分析》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0