新 Checkmarx 供应链泄露影响 KICS 分析工具
Source: Bleeping Computer
概述
黑客入侵了 Docker 镜像、VS Code 和 Open VSX 扩展,针对 Checkmarx KICS 分析工具,以窃取开发者环境中的敏感数据。
KICS(Keeping Infrastructure as Code Secure)是一款免费、开源的扫描器,帮助开发者识别源代码、依赖项和配置文件中的安全漏洞。该工具通常通过 CLI 或 Docker 本地运行,并处理常包含凭证、令牌以及内部架构细节的敏感基础设施配置。
调查
依赖安全公司 Socket 在收到 Docker 关于官方 checkmarx/kics Docker Hub 仓库推送恶意镜像的警报后,对事件进行了调查。
此次妥协不仅限于被植入特洛伊木马的 KICS Docker 镜像,还波及 VS Code 和 Open VSX 扩展,这些扩展下载了一个隐藏的 “MCP addon” 功能,用于获取窃取机密的恶意软件。该插件从硬编码的 GitHub URL 中以 mcpAddon.js 的形式获取,是一个多阶段的凭证窃取和传播组件。
目标数据
恶意软件针对 KICS 处理的数据,包括:
- GitHub 令牌
- 云凭证(AWS、Azure、Google Cloud)
- npm 令牌
- SSH 密钥
- Claude 配置
- 环境变量
被窃取的数据会被加密后外传至 audit.checkmarx.cx,该域名冒充合法的 Checkmarx 基础设施。公共 GitHub 仓库会被自动创建用于数据外泄。
.jpg)
自动创建的 GitHub 仓库
Source: Socket
影响
Docker 标签曾短暂指向恶意摘要。Docker Hub KICS 镜像的危险时间窗口为:
- 2026‑04‑22 14:17:59 UTC 至 2026‑04‑22 15:41:31 UTC
受影响的标签已恢复为其合法的镜像摘要,且伪造的 v2.1.21 标签已被彻底删除。
下载了受损制品的开发者应假设其密钥已泄露,立即进行轮换,并从已知的安全基线重新构建环境。
归属
此次攻击由 TeamPCP 黑客公开声称,他们此前曾对 Trivy 和 LiteLLM 项目进行供应链妥协。然而,研究人员未能找到超出基于模式的关联的充分证据,无法自信地将此事件归因于他们。
来自 Checkmarx 的回应
BleepingComputer 已联系 Checkmarx 以获取声明;目前尚未立即获得评论。Checkmarx 已发布一篇关于该事件的安全公告,确保所有恶意制品已被删除,泄露的凭证已被撤销并重新生成。公司正与外部专家一起进行调查,并将在有进一步信息时提供。
缓解建议
- 阻止对
checkmarx.cx→91.195.240.123和audit.checkmarx.cx→94.154.172.43的访问。 - 对 Docker 镜像和扩展使用固定的 SHA 摘要。
- 回退到已知安全的版本(见下文)。
- 如果怀疑或确认泄露,轮换所有密钥和凭证。
安全版本
- Docker Hub KICS v2.1.20
- Checkmarx
ast-github-actionv2.3.36 - Checkmarx VS Code 扩展 v2.64.0
- Checkmarx Developer Assist 扩展 v1.18.0
