Checkmarx는 최근 Jenkins Marketplace에 악성 코드가 삽입된 Jenkins Application Security Testing(AST) 플러그인이 유포된 사실을 경고하였다. 이번 공격은 TeamPCP 해커 그룹이 주도했으며, 이들은 npm의 Shai-Hulud 캠페인과 Trivy 취약점 스캐너 침해 등 일련의 공급망 공격을 벌여왔다. TeamPCP는 Trivy 공급망 공격을 통해 Checkmarx의 GitHub 저장소 접근 권한을 탈취하고, Jenkins AST 플러그인에 자격 증명 탈취 악성코드를 삽입한 것으로 확인되었다.
공격자는 최소 한 달간 Checkmarx의 GitHub 환경에 접근해 Jenkins AST 플러그인뿐 아니라 KICS 분석 도구 등 여러 개발자 도구의 악성 버전을 GitHub, Docker, VSCode 등에 배포하였다. 5월 9일에는 공식 릴리즈 파이프라인을 거치지 않은 악성 플러그인(2026.5.09 버전)이 Jenkins 저장소에 업로드되었으며, Checkmarx는 사용자들에게 2025년 12월 17일 이전의 공식 버전(2.0.13-829.vc72453fa_1c16)만 사용할 것을 권고하였다.
Checkmarx는 GitHub 저장소가 고객 운영 환경과 분리되어 있고, 고객 데이터는 저장되지 않는다고 밝혔다. 그러나 악성 플러그인을 설치한 사용자는 자격 증명 유출을 가정하고 모든 비밀 정보를 교체하며, 추가 침해 여부를 조사해야 한다고 안내했다. 또한, 침해 지표(Indicator of Compromise, IoC) 정보를 공개하여 방어자들이 환경을 점검할 수 있도록 지원하고 있다.
요약
- Checkmarx Jenkins AST 플러그인에 악성 코드가 삽입된 버전이 Jenkins Marketplace에 유포되었다.
- TeamPCP 해커 그룹이 Trivy 공급망 공격을 통해 GitHub 저장소 접근 권한을 탈취하고, 여러 개발자 도구에 악성코드를 삽입하였다.
- 공식 릴리즈가 아닌 악성 플러그인이 5월 9일 업로드되었으며, 사용자들은 공식 버전만 사용할 것이 권고되었다.
- Checkmarx는 고객 데이터 유출은 없다고 밝혔으나, 악성 플러그인 설치자는 자격 증명 교체 등 보안 조치를 취해야 한다.
- 침해 지표(IoC) 정보가 공개되어 방어자들이 환경을 점검할 수 있도록 지원되고 있다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.