مجموعة TeamPCP كطيح إضافة Jenkins AST ديال Checkmarx بعد أسابيع من هجوم سلسلة التزويد على KICS

الخلاصة — مجموعة TeamPCP نشرات نسخة خبيثة من إضافة Jenkins AST ديال Checkmarx فـ Jenkins Marketplace، وهادشي كيمثل ثاني اختراق كبير لـ سلسلة التزويد فالبنية التحتية ديال Checkmarx فظرف أسابيع. خاص المستخدمين يديرو التحديث للنسخة 2.0.13-848.v76e89de8a_053 أو ما بعدها. هاد الاختراق السريع والمتكرر كيبين إما أن عملية تغيير بيانات الاعتماد (credential rotation) ماكانتش كاملة، أو أن المهاجمين بقا عندهم وصول من الاختراق السابق ديال KICS فشهر مارس 2026.

شنو وقع

شركة Checkmarx أكدات خلال الويكاند بلي تنشرات نسخة معدلة من إضافة Jenkins AST الخاصة بيها فـ Jenkins Marketplace. الشركة نصحات المستخدمين باش يتأكدو بلي راهم خدامين بالنسخة 2.0.13-829.vc72453fa_1c16، لي خرجات نهار 17 دجنبر 2025، أو النسخ لي قبل منها. من بعد، تم إصدار نسخة فيها ترقيع (2.0.13-848.v76e89de8a_053) فكل من GitHub و Jenkins Marketplace، واخا البيان ديال Checkmarx على الحادثة بيّن بلي الشركة كانت باقا فطور نشر النسخة الجديدة فوقت الإعلان.

على حساب الباحث الأمني Adnan Khan و SOCRadar، قدرات مجموعة TeamPCP توصل بشكل غير مصرح بيه لـ GitHub repository ديال الإضافة وبدلات سميتها لـ "Checkmarx-Fully-Hacked-by-TeamPCP-and-Their-Customers-Should-Cancel-Now". الوصف المخترق ديال الـ repository كان فيه أيضا: "Checkmarx fails to rotate secrets again. with love – TeamPCP."

هاد الحادثة جات مورا سلسلة من الهجمات ديال TeamPCP ضد Checkmarx لي بدات فـ مارس 2026. أسابيع قبل، هاد المجموعة ختارقات KICS Docker image، وجوج إضافات ديال VS Code، و GitHub Actions workflow باش تنشر برمجيات خبيثة كتسرق بيانات الاعتماد. هاد الاختراق تسلسل وأدى لاختراق قصير المدى للـ package ديال Bitwarden CLI npm، لي قدمات برمجيات خبيثة بحالها قادرة تجمع أسرار (secrets) المطورين.

Checkmarx ما كشفاتش على الطريقة لي بيها تنشرات النسخة الخبيثة من الإضافة فـ Jenkins Marketplace.

علاش هادشي مهم

إضافات Jenkins AST كتستعمل بزاف فـ CI/CD pipelines عند فرق التطوير. إضافة مخترقة وموزعة من خلال Jenkins Marketplace الرسمي كتمثل تهديد مباشر لأي مؤسسة كتعتمد على الدمج مع Checkmarx فالفحص الأمني وتطبيق سياسات الحماية.

بالنسبة لمحللي SOC ومهندسي المنصات فمنطقة الشرق الأوسط وشمال إفريقيا، هاد الحادثة كاتبين واحد النمط خطير: المهاجمين ماكيخترقوش البنية التحتية مرة وحدة وكيمشيو بحالهم. الرجوع ديال TeamPCP للأنظمة ديال Checkmarx فظرف أسابيع كيأكد إما بلي كاين وصول مستمر، أو كيديرو استطلاع منهجي لثغرات المعالجة. إعادة استخدام نفس البنية التحتية ديال الهجوم (برمجيات سرقة بيانات الاعتماد) فبزاف ديال المنتجات ديال Checkmarx كتدل على حملة مستمرة ومكلفة كتستهدف سلسلة التزويد ديال البرمجيات.

اختراق أدوات المطورين خطير بزاف حيت كيخدم داخل حدود الثقة ديال فرق الهندسة — الإضافات والـ extensions كيتوقعو منها تكون شرعية، وغالبا كتعطى ليها صلاحيات واسعة على أنظمة البناء (build systems) والـ repositories.

الأنظمة المتضررة و CVEs

• إضافة Checkmarx Jenkins AST (نسخة خبيثة تنشرات من خلال Jenkins Marketplace)
• Checkmarx KICS Docker image (اختراق سابق، مارس 2026)
• إضافات Checkmarx VS Code (اختراق سابق، مارس 2026)
• Checkmarx GitHub Actions workflow (اختراق سابق، مارس 2026)
• حزمة Bitwarden CLI npm (اختراق جانبي ناتج عن اختراق Checkmarx)

ماتم تخصيص حتى CVE فوقت النشر ديال هاد التقرير.

شنو خاص يدار

• تحديث إضافة Checkmarx Jenkins AST فورا للنسخة 2.0.13-848.v76e89de8a_053 أو ما بعدها فكاع منصات Jenkins ديالكم.
• تغيير وتدوير (Rotate) كاع بيانات الاعتماد والأسرار المرتبطة بالبنية التحتية ديال Checkmarx، حسابات GitHub، والأنظمة المدمجة مع أدوات Checkmarx.
• مراجعة سجلات الوصول (access logs) والصلاحيات ديال GitHub الخاصة بـ repository ديال إضافة Checkmarx Jenkins AST والمشاريع المرتبطة بيها.
• تدقيق سجلات النشر (deployment records) باش تعرفو واش تم تثبيت أي نسخة خبيثة من الإضافة فالبيئة ديالكم وامتى.
• يلا كنتو كتستعملو Checkmarx KICS، ولا إضافات VS Code، أو GitHub Actions workflows، تأكدو بلي راكم خدامين بالنسخ الحالية وراجعو تاريخ النشر ديالهم.
• فحص سجلات البناء (build logs) و artifact repositories باش تشوفو واش كاين شي نشاط غير عادي عندو علاقة مع عمليات نشر الإضافات.

أسئلة باقا مطروحة

• كيفاش قدرات TeamPCP تجيب بيانات الاعتماد ولا الوصول باش تنشر النسخة الخبيثة من الإضافة فـ Jenkins Marketplace، وشنو هي ضوابط المصادقة لي تم تخطيها؟
• النطاق الكامل ديال البيانات ولا الأنظمة لي تم الوصول ليها عن طريق الإضافة المخترقة قبل ما يتم الاكتشاف ديالها.
• واش الاختراق الجديد ديال دجنبر 2025 استعمل نفس طريقة الوصول (initial access vector) ديال اختراق KICS فمارس 2026 أو استغل نقطة دخول مختلفة.
• الإطار الزمني بين الوقت لي تنشرات فيه الإضافة الخبيثة والوقت لي كتاشفات فيه Checkmarx هادشي وحيداتها؛ هادشي كيأثر على مدة التعرض للخطر بالنسبة للمستخدمين.
• واش جهود المعالجة مورا الحادثة ديال مارس 2026 كانت كتشمل تغيير شامل لـ بيانات الاعتماد فكاع الأنظمة وعمليات الدمج الخارجية.

المصدر

TeamPCP Compromises Checkmarx Jenkins AST Plugin Weeks After KICS Supply Chain Attack