Checkmarx 供應鏈攻擊事件詳解

事件背景與影響範圍

資安公司 Checkmarx 開發的開源基礎架構掃描工具 KICS 近日再度傳出遭遇供應鏈攻擊。根據 Socket 與 Checkmarx 的調查結果，駭客團體 TeamPCP 滲透並覆寫了 KICS 在 Docker Hub 上的儲存庫標籤，導致惡意 Docker 映像檔被發布。此外，駭客還入侵了 Checkmarx 提供的 Visual Studio Code (VS Code) 延伸套件，植入可竊取憑證的惡意程式碼。

攻擊手法與時間軸

此次攻擊的導火線發生於一個月前，駭客透過 GitHub Actions 滲透 KICS 的開發流程。攻擊者不僅覆寫了原本的 Docker 標籤，還引入了與上游版本不符的惡意元件。Checkmarx 初步調查指出，惡意元件僅影響特定時間段內上傳的 Docker 映像檔以及 VS Code 延伸套件，其餘先前發布的正常版本未遭到覆蓋。

潛在風險與建議

使用 KICS 進行 CI/CD 流程的開發人員面臨風險，因為惡意映像檔可能導致掃描結果不準確，甚至讓開發者誤以為系統已安全。Checkmarx 建議開發人員確認其使用的 VS Code 延伸套件版本，並密切關注 Docker Hub 上 KICS 映像檔的更新情況，以確保系統安全。