Checkmarx 遭遇供應鏈攻擊事件摘要
事件背景與受影響工具
知名資安公司 Checkmarx 證實其開發的開源基礎架構掃描工具 KICS 遭遇供應鏈攻擊。此次攻擊發生在一個月前,駭客團體 TeamPCP 滲透 KICS 的 GitHub Actions 系統,成功植入可竊取憑證的惡意程式碼。
最新攻擊細節
此次攻擊針對 Checkmarx 的兩個產品進行:一是 KICS 的 Docker 映像檔,二是該公司發布的 Visual Studio Code (VS Code) 延伸套件。駭客透過汙染二進位檔與容器映像檔,試圖竊取使用者的憑證與金鑰。
攻擊者背景
根據相關報導,駭客團體 TeamPCP 曾在 2026 年 3 月發動過大規模供應鏈攻擊,波及 Trivy、Checkmarx、LiteLLM 及 KICS 等開發工具。此次攻擊再次顯示開源生態系統在 CI/CD 配置與第三方工具管理上的脆弱性。
建議措施
Checkmarx 已呼籲使用者採取行動因應,包括檢查所使用的 Docker 映像檔與 VS Code 延伸套件是否為最新版本,並驗證其完整性以確保未受惡意程式碼影響。