A Checkmarx alertou sobre a publicação de uma versão comprometida de seu plugin Jenkins Application Security Testing (AST) no Jenkins Marketplace, atribuída ao grupo hacker TeamPCP. Este incidente faz parte de uma série de ataques à cadeia de suprimentos, que também afetaram outras ferramentas como npm e Trivy. O plugin AST da Checkmarx é amplamente utilizado para integrar a segurança em pipelines automatizados de desenvolvimento. Os hackers conseguiram acessar os repositórios do GitHub da Checkmarx e injetar código malicioso, utilizando credenciais obtidas em um ataque anterior ao Trivy. A Checkmarx confirmou que a versão maliciosa do plugin foi publicada fora do pipeline oficial e não seguiu os padrões de versionamento adequados. A empresa recomendou que os usuários verifiquem se estão utilizando a versão correta do plugin e alertou que aqueles que baixaram a versão comprometida devem considerar suas credenciais como comprometidas e realizar uma rotação de segredos. A Checkmarx também disponibilizou indicadores de comprometimento (IoCs) para ajudar na detecção de possíveis infecções em ambientes de desenvolvimento.
Fonte: https://www.bleepingcomputer.com/news/security/official-checkmarx-jenkins-package-compromised-with-infostealer/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
11/05/2026 • Risco: ALTO
MALWARE
Versão maliciosa de plugin da Checkmarx é publicada no Jenkins Marketplace
RESUMO EXECUTIVO
O ataque ao plugin da Checkmarx destaca a vulnerabilidade de ferramentas de desenvolvimento amplamente utilizadas. A injeção de código malicioso pode resultar em comprometimento de credenciais e dados, exigindo uma resposta rápida das equipes de segurança para evitar danos maiores.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais custos associados à recuperação de dados e à mitigação de danos.
Operacional
Possível comprometimento de credenciais e injeção de malware em ambientes de desenvolvimento.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
A versão maliciosa do plugin foi publicada em 9 de maio.
Indicador
A Checkmarx sofreu três incidentes de segurança desde março.
Contexto BR
O plugin comprometido foi baixado por usuários sem conhecimento do ataque.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se a versão do plugin Jenkins AST em uso é a correta.
2
Rotacionar credenciais e segredos imediatamente para usuários que possam ter baixado a versão comprometida.
3
Monitorar atividades suspeitas em ambientes de desenvolvimento e repositórios de código.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de ferramentas críticas de CI/CD que podem ser alvos de ataques, comprometendo a integridade do desenvolvimento de software.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
