En apenas 83 minutos: desarrolladores fueron hackeados a través del escáner de vulnerabilidades Checkmarx KICS.
Qué se sabe sobre el ataque a la cadena de suministro de Checkmarx
Los atacantes sustituyeron sigilosamente una herramienta popular utilizada para verificar código e incorporaron en ella un componente malicioso que robaba contraseñas y claves directamente de los entornos de trabajo de los desarrolladores.
Se trata de KICS (Keeping Infrastructure as Code Secure), una herramienta gratuita de código abierto que ayuda a detectar vulnerabilidades en el código fuente, las dependencias y los archivos de configuración. Los desarrolladores suelen ejecutar KICS de forma local o a través de Docker; la herramienta procesa datos sensibles: cuentas, tokens, claves de acceso y detalles de la arquitectura interna.
La empresa Socket comenzó a investigar el incidente después de que Docker advirtiera sobre imágenes maliciosas en el repositorio oficial checkmarx/kics en Docker Hub. Cuando los especialistas analizaron los componentes, descubrieron que el problema no se limitaba a las imágenes de Docker infectadas. El código malicioso también se introdujo en extensiones para Visual Studio Code y Open VSX.
Dentro de esas extensiones había una función oculta llamada «MCP addon». El componente descargaba desde una dirección fija en GitHub el archivo mcpAddon.js: un módulo que recopilaba credenciales y las propagaba. El programa buscaba específicamente la información con la que trabaja KICS: tokens de GitHub, credenciales de servicios en la nube Amazon Web Services, Microsoft Azure y Google Cloud, tokens de npm, claves SSH, configuraciones de Claude y variables de entorno.
Los datos recopilados eran cifrados por el código malicioso y enviados al dominio audit.checkmarx.cx, que se hacía pasar por la infraestructura de Checkmarx. Además, el programa creaba automáticamente repositorios públicos en GitHub y cargaba los datos allí.
Imágenes de Docker fueron sustituidas solo por un breve periodo: los atacantes redirigieron las etiquetas a versiones maliciosas el 22 de abril de 2026 desde las 14:17:59 hasta las 15:41:31 UTC. Después de eso, las etiquetas se restauraron a las versiones normales y la etiqueta falsa v2.1.21 fue eliminada. Cualquiera que descargara las versiones infectadas en ese intervalo debe considerar sus credenciales comprometidas, cambiar inmediatamente claves y tokens y reconstruir el entorno de trabajo a partir de una copia verificada.
La responsabilidad del ataque aún no se ha establecido. El grupo TeamPCP, anteriormente vinculado a un ataque masivo a la cadena de suministro de Trivy y LiteLLM, declaró ser responsable, pero los especialistas no encontraron pruebas suficientes y se limitaron a coincidencias indirectas. La empresa Checkmarx publicó un boletín de seguridad y afirmó haber eliminado todos los componentes maliciosos. Las credenciales comprometidas ya han sido revocadas y reemplazadas. Especialistas externos siguen investigando el incidente.
Se aconseja a los usuarios de KICS bloquear el acceso a los dominios checkmarx.cx (91.195.240.123) y audit.checkmarx.cx (94.154.172.43), usar hashes de versión fijos, volver a compilaciones seguras y cambiar todas las credenciales ante la menor sospecha. Las versiones consideradas seguras actualmente son: la imagen de Docker KICS v2.1.20, la acción Checkmarx ast-github-action v2.3.36, la extensión para Visual Studio Code v2.64.0 y la extensión Checkmarx Developer Assist v1.18.0.