A Checkmarx confirmou a publicação de uma versão modificada do plugin Jenkins AST no Jenkins Marketplace, alertando os usuários para utilizarem a versão 2.0.13-829.vc72453fa_1c16, lançada em 17 de dezembro de 2025, ou versões anteriores. A nova versão, 2.0.13-848.v76e89de8a_053, foi disponibilizada, mas a empresa ainda está trabalhando em uma nova atualização. O ataque foi atribuído ao grupo cibercriminoso TeamPCP, que já havia comprometido anteriormente a imagem Docker KICS da Checkmarx, extensões do VS Code e um fluxo de trabalho do GitHub Actions para implantar malware que rouba credenciais. O acesso não autorizado ao repositório do plugin no GitHub permitiu que o grupo renomeasse o repositório para uma mensagem provocativa, evidenciando a falha na rotação de segredos por parte da Checkmarx. A rápida reentrada do TeamPCP sugere que a remediação inicial pode ter sido incompleta ou que o grupo ainda mantém um ponto de acesso não identificado. Este incidente destaca a vulnerabilidade da cadeia de suprimentos de software e a necessidade de vigilância contínua contra tais ameaças.
Fonte: https://thehackernews.com/2026/05/teampcp-compromises-checkmarx-jenkins.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
11/05/2026 • Risco: ALTO
ATAQUE
Ataque à cadeia de suprimentos compromete plugin do Jenkins
RESUMO EXECUTIVO
O ataque ao plugin Jenkins AST da Checkmarx evidencia a vulnerabilidade da cadeia de suprimentos de software. A rápida reentrada do grupo TeamPCP sugere falhas na remediação, o que pode resultar em sérias consequências para a segurança das informações e compliance regulatório.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de dados e interrupções operacionais.
Operacional
Comprometimento de credenciais e potencial roubo de segredos de desenvolvedores.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
Comprometimento de múltiplos plugins e ferramentas de desenvolvimento.
Indicador
Acesso não autorizado ao repositório do GitHub.
Contexto BR
Várias versões do plugin afetadas.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a versão do plugin Jenkins AST em uso e garantir que seja a versão segura.
2
Atualizar para a versão mais recente do plugin assim que disponível.
3
Monitorar continuamente os repositórios do GitHub e outras fontes para novas vulnerabilidades ou compromissos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança da cadeia de suprimentos de software, especialmente em um cenário onde plugins e ferramentas amplamente utilizados estão sendo comprometidos.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente em relação ao tratamento de dados sensíveis.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
