«Con amor, TeamPCP»: hackers irrumpen en Checkmarx y lo anuncian en su repositorio

Actores malintencionados desconocidos sustituyeron el complemento Checkmarx para Jenkins e insertaron en él código malicioso para robar credenciales. El incidente continuó la serie de ataques a la cadena de suministro de software, atribuidos al grupo TeamPCP.

Jenkins lo utilizan miles de empresas para automatizar la compilación, las pruebas y las actualizaciones de software. El complemento Checkmarx AST ayuda a integrar la verificación de seguridad en esos procesos. El pasado fin de semana Checkmarx advirtió que en el directorio Jenkins Marketplace apareció una versión modificada del complemento.

La empresa indicó que ya está preparando una nueva versión segura. La publicación falsa se subió el 9 de mayo con el número 2026.5.09. El archivo apareció en el repositorio repo.jenkins-ci.org eludiendo el proceso oficial de publicación. Los expertos notaron que la versión no seguía la convención habitual de nomenclatura y además no tenía etiqueta en GitHub ni página de lanzamiento.

La responsabilidad del ataque la asumió TeamPCP. Anteriormente el grupo ya había estado vinculado con los ataques Shai-Hulud en npm y la compromisión del escáner de vulnerabilidades Trivy. Según los datos del ingeniero de seguridad ofensiva Adnan Khan, los atacantes obtuvieron acceso a los repositorios de Checkmarx en GitHub e insertaron en el complemento código para el robo de credenciales.

Un portavoz de Checkmarx confirmó que los atacantes obtuvieron acceso a los repositorios después del ataque a Trivy en marzo. Los hackers dejaron en la descripción del repositorio el mensaje: «Checkmarx fails to rotate secrets again. With love – TeamPCP».

Con las credenciales robadas, TeamPCP publicó versiones infectadas de diversas herramientas para desarrolladores en GitHub, Docker y VSCode. El malware recopilaba datos de los entornos de trabajo de los programadores. Según la empresa, los atacantes mantuvieron acceso al menos durante un mes. Durante ese tiempo el grupo logró subir la versión infectada de la herramienta KICS a Docker, Open VSX y VSCode.

A finales de abril Checkmarx también informó que el grupo LAPSUS$ publicó datos de un repositorio privado de la empresa en GitHub.

La compañía recomendó a los usuarios de Jenkins comprobar que se está usando la versión del complemento 2.0.13-829.vc72453fa_1c16 del 17 de diciembre de 2025 o versiones anteriores. Por ahora no revela detalles sobre el funcionamiento del complemento malicioso de Checkmarx, pero aconseja considerar las credenciales como comprometidas, cambiar todos los secretos de acceso y revisar la infraestructura en busca de indicios de persistencia de los atacantes y de la propagación adicional del ataque.

En Checkmarx dijeron que los repositorios de GitHub están aislados del entorno de producción de los clientes y que los datos de usuario no se almacenaban en los repositorios. La empresa también publicó indicadores de compromiso que ayudarán a los administradores a revisar sus sistemas en busca de rastros del ataque.