Pacote oficial CheckMarx Jenkins comprometido com infostealer

O grupo TeamPCP, mesmo responsável pelas campanhas npm Shai-Hulud e violação do scanner Trivy, publicou uma versão maliciosa (2026.5.09) do plugin Jenkins AST da Checkmarx no Jenkins Marketplace em 9 de maio. Eles utilizaram credenciais roubadas durante o comprometimento da Trivy em março, que a Checkmarx nunca rotacionou. A build maliciosa ficou fora do pipeline de release do plugin, não tinha tag Git nem GitHub release, e quebrava o esquema de versionamento baseado em data do projeto.

Usuários devem reverter para a versão 2.0.13-829.vc72453fa_1c16 (17 de dezembro de 2025) ou anterior, rotacionar todos os secrets que tocaram um runner Jenkins executando o plugin, e buscar movimento lateral e persistência. Defensores devem tratar qualquer violação de fornecedor envolvendo credenciais de repositório roubadas como risco contínuo de supply-chain até confirmação da rotação, e incorporar os IOCs publicados pela Checkmarx na telemetria de CI/CD.