TeamPCP再度發動供應鏈攻擊，Checkmarx的KICS掃描弱點掃描工具遭駭

事件概述

資安公司Wiz發現駭客組織TeamPCP已染指Checkmarx打造的基礎設施即程式碼（Infrastructure as Code，IaC）掃描工具KICS，並對其弱點掃描工具發動攻擊。

TeamPCP自上週開始接連犯案，先入侵資安公司Aqua Security開發的Trivy掃描工具，透過GitHub Actions散佈竊資軟體；後續又在NPM儲存庫發動蠕蟲攻擊CanisterWorm。此次攻擊擴展至Checkmarx的KICS工具，顯示其持續針對資安相關開源工具進行供應鏈攻擊。

該攻擊針對的是用於檢測程式碼弱點的資安工具，若使用者未妥善管理其供應鏈，可能導致惡意程式碼被植入，進而影響整個開發環境的安全性。