أكدت شركة Checkmarx أن نسخة معدلة من إضافة Jenkins AST plugin تم نشرها على سوق Jenkins الرسمي، في أحدث اختراق تنسبه التقارير إلى مجموعة التهديد السيبراني TeamPCP.
تفاصيل الاختراق وإصدارات الإضافة
بحسب بيان الشركة، فإن المستخدمين مطالبون بالتحقق من أنهم يعملون على الإصدار الآمن 2.0.13-829.vc72453fa_1c16 الصادر في ديسمبر 2025 أو ما قبله. وقد أصدرت Checkmarx لاحقاً نسخة جديدة برقم 2.0.13-848.v76e89de8a_053 على كل من GitHub وسوق Jenkins، لكنها لم تكشف بعد عن كيفية وصول النسخة الخبيثة إلى السوق.
خلفية الهجمات وسياق سلسلة التوريد
هذا التطور يأتي بعد أسابيع قليلة من اختراقات سابقة نفذتها نفس المجموعة، حيث استهدفت صورة Docker الخاصة بـ KICS، امتدادين لـ VS Code، وسير عمل GitHub Actions، بهدف نشر برمجيات خبيثة لسرقة بيانات الاعتماد.
الهجوم أدى أيضاً إلى اختراق مؤقت لحزمة Bitwarden CLI على npm، والتي استُخدمت لنشر أداة سرقة أسرار المطورين.
أسلوب TeamPCP في الاختراق
بحسب الباحث الأمني Adnan Khan ومنصة SOCRadar، تمكنت المجموعة من الوصول غير المصرح به إلى مستودع GitHub الخاص بالإضافة، وأعادت تسميته إلى:
“Checkmarx-Fully-Hacked-by-TeamPCP-and-Their-Customers-Should-Cancel-Now”
كما أضافت وصفاً ساخرًا: “Checkmarx fails to rotate secrets again. with love – TeamPCP.”
دلالات أمنية خطيرة
العودة السريعة للمجموعة إلى أنظمة Checkmarx بعد أسابيع قليلة من حادثة مارس تشير إلى احتمالين رئيسيين:
- أن إجراءات المعالجة الأولى لم تكن مكتملة، ولم يتم تدوير بيانات الاعتماد بشكل شامل.
- أو أن المجموعة احتفظت بموطئ قدم داخل الأنظمة لم يُكتشف أثناء الاستجابة الأولى.
بحسب SOCRadar، فإن تكرار الحوادث بهذا الشكل يعكس أن المجموعة تراقب باستمرار نقاط الدخول المحتملة، وتختبر فعالية إجراءات التصحيح السابقة، وتستغل أي ثغرات متبقية لإعادة التسلل.
