Checkmarx ha confirmado que se publicó una versión modificada del complemento Jenkins AST en Jenkins Marketplace.
«Si está utilizando el complemento AST de Checkmarx Jenkins, debe asegurarse de que está utilizando la versión 2.0.13-829.vc72453fa_1c16 que se publicó el 17 de diciembre de 2025 o anteriormente», dijo la compañía de ciberseguridad en un comunicado durante el fin de semana.
Al momento de escribir este artículo, Checkmarx ha lanzado 2.0.13-848.v76e89de8a_053 tanto en GitHub como en Jenkins Marketplace, aunque su actualización del incidente aún indica que está «en el proceso de publicar una nueva versión de este complemento». No reveló cómo se publicó la versión del complemento malicioso.
El desarrollo es el último ataque orquestado por TeamPCP dirigido a Checkmarx. Llega un par de semanas después de que se atribuyó al notorio grupo de delitos cibernéticos el compromiso de su imagen KICS Docker, dos extensiones de VS Code y un flujo de trabajo de GitHub Actions para impulsar malware de robo de credenciales.
La infracción, a su vez, resultó en el breve compromiso del paquete npm de Bitwarden CLI para servir a un ladrón similar que puede recopilar una amplia gama de secretos de desarrolladores.
TeamPCP ha estado vinculado a una serie de infracciones desde marzo de 2026 como parte de una campaña en expansión que explota la confianza inherente en la cadena de suministro de software para propagar su malware y ampliar su alcance.
Según los detalles compartidos por el investigador de seguridad Adnan Khan y SOCRadar, se dice que TeamPCP obtuvo acceso no autorizado al repositorio GitHub del complemento y le cambió el nombre a «Checkmarx-Fully-Hacked-by-TeamPCP-and-Their-Customers-Should-Cancel-Now».
El repositorio desfigurado también se actualizó para incluir la descripción: «Checkmarx no puede rotar secretos nuevamente. Con amor – TeamPCP».
«El hecho de que TeamPCP esté nuevamente dentro de los sistemas Checkmarx apenas unas semanas después apunta a una de dos posibilidades: o la remediación inicial fue incompleta y las credenciales no se rotaron por completo, o el grupo mantuvo un punto de apoyo que no fue identificado durante la respuesta de marzo», dijo SOCRadar.
«Un segundo incidente de Checkmarx que sucederá pronto sugiere que el grupo está observando activamente los puntos de reingreso, probando la profundidad de las remediaciones pasadas y aprovechando cualquier brecha».