حمله زنجیره تأمین به پلاگین Jenkins AST شرکت Checkmarx

در جدیدترین موج تهدیدات امنیتی علیه اکوسیستم توسعه نرم‌افزار، شرکت Checkmarx از وقوع یک حمله زنجیره تأمین گسترده از طریق پلاگین Jenkins AST خبر داد. این رخداد که با انتشار نسخه‌ای دستکاری‌شده در Jenkins Marketplace همراه بوده است، نشان می‌دهد که ابزارهای CI/CD همچنان هدف اصلی در سناریوهای حمله زنجیره تأمین هستند و می‌توانند دسترسی غیرمجاز مهاجمان به زیرساخت‌های حیاتی و مخازن کد را تسهیل کنند.

جزئیات حمله زنجیره تأمین به پلاگین Jenkins AST

پلاگین Jenkins AST به توسعه‌دهندگان اجازه می‌دهد قابلیت‌های پلتفرم Checkmarx One را در پایپ‌لاین‌های Jenkins ادغام کرده و اسکن امنیتی کد منبع را با استفاده از Checkmarx AST انجام دهند. با این حال، مهاجمان در این حمله موفق شدند نسخه‌ای تغییر یافته از این پلاگین را در Jenkins Marketplace منتشر کنند.

شرکت Checkmarx در اطلاعیه‌ای اعلام کرد:

«ما از انتشار نسخه تغییر یافته پلاگین Jenkins AST در Jenkins Marketplace آگاه هستیم و نسخه جدیدی از این پلاگین را منتشر خواهیم کرد.»

به کاربران توصیه شده است برای جلوگیری از سوءاستفاده در سناریوهای حمله زنجیره تأمین، اطمینان حاصل کنند که از نسخه امن 2.0.13-829.vc72453fa_1c16  یا نسخه‌های بالاتر که در دسامبر 2025 منتشر شده است، استفاده می‌کنند.

انتشار نسخه ایمن پلاگین

Checkmarx پس از شناسایی این حمله، دو نسخه جدید از پلاگین Jenkins AST منتشر کرده است. جدیدترین نسخه با شماره 2.0.13-848.v76e89de8a_053 اکنون در GitHub و Jenkins Marketplace در دسترس کاربران قرار دارد. هدف از انتشار این نسخه‌ها، جایگزینی نسخه‌های آسیب‌پذیر و جلوگیری از سوءاستفاده در سناریوهای حمله زنجیره تأمین است.

ارتباط حمله زنجیره تأمین Jenkins با Trivy

اگرچه Checkmarx هنوز جزئیات کامل نحوه انتشار نسخه مخرب را منتشر نکرده، اما این رخداد بخشی از موج حملاتی است که این شرکت از مارس 2026 با آن مواجه شده است. بر اساس گزارش‌ها، گروه هکری TeamPCP در جریان یک حمله زنجیره تأمین مرتبط با ابزار امنیتی Trivy موفق شده‌ است به برخی مخازن Checkmarx دسترسی پیدا کند. مهاجمان پس از نفوذ اولیه، اقدام به انتشار آرتیفکت‌های مخرب در زیرساخت این شرکت کردند.

موج دوم آرتیفکت‌های مخرب در زیرساخت Checkmarx

حدود یک ماه پس از رخداد اولیه، بررسی‌ها نشان داد موج جدیدی از آرتیفکت‌های مخرب در زیرساخت Checkmarx منتشر شده است. کارشناسان امنیتی معتقدند این موضوع احتمالاً ناشی از تداوم دسترسی مهاجمان در محیط‌های داخلی این شرکت بوده است.

در بسیاری از سناریوهای حمله زنجیره تأمین، مهاجمان پس از نفوذ اولیه تلاش می‌کنند دسترسی خود را حفظ کرده و در بازه‌های زمانی مختلف، آرتیفکت‌ها یا بسته‌های نرم‌افزاری آلوده را به زنجیره توزیع تزریق کنند.

افشای داده‌های احتمالی توسط گروه Lapsus$

در ادامه این رخدادها، گروه هکری Lapsus$ داده‌هایی را منتشر کرده که ادعا می‌شود از مخازن Checkmarx به دست آورده است.

شرکت Checkmarx نیز تأیید کرده که این داده‌ها احتمالاً از GitHub و با استفاده از اعتبارنامه‌های سرقت‌شده در جریان حمله Trivy استخراج شده‌اند.

این رخداد بار دیگر نشان می‌دهد که حمله زنجیره تأمین یکی از پیچیده‌ترین و خطرناک‌ترین روش‌های نفوذ در زنجیره توسعه نرم‌افزار است و حتی شرکت‌های امنیت سایبری را نیز هدف قرار می‌دهد.

منابع