B
今週中
CheckmarxのJenkins用ASTプラグインがハッキングされ、悪意のあるコードが含まれたバージョン(2026.5.09)が公式マーケットプレイスに公開さ…
📌 一言でいうと
CheckmarxのJenkins用ASTプラグインがハッキングされ、悪意のあるコードが含まれたバージョン(2026.5.09)が公式マーケットプレイスに公開されました。攻撃者はCheckmarxのGitHubリポジトリへのアクセス権を不正に取得し、開発環境や認証情報を窃取することを目的としています。この攻撃はTeamPCPというグループによるものとされており、長期的なサプライチェーン攻撃の一環であると分析されています。
🔍該当判定
- CI/CDツールとして『Jenkins(젠킨스)』を導入して利用している
- Jenkinsのプラグイン管理画面から『Checkmarx AST Plugin』をインストールしている
- Checkmarx AST Pluginのバージョンが『2026.5.09』になっている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. Jenkins ASTプラグインのバージョンを確認し、不審なバージョン(2026.5.09等)がインストールされていないか確認すること。 2. 影響を受けた場合は直ちにプラグインを削除し、最新の安全なバージョンへ更新すること。 3. 漏洩の可能性があるAPIキーや認証情報を速やかに変更すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Checkmarx Jenkins ASTプラグインのサプライチェーン攻撃への対応について
お疲れさまです。CheckmarxのJenkinsプラグインに関する重大なセキュリティインシデントの情報共有です。
■ 概要
CheckmarxのGitHubリポジトリが侵害され、悪意のあるコードが混入した「Checkmarx ASTプラグイン」のバージョン(2026.5.09)が公式マーケットプレイスに配布されました。攻撃者は開発環境の認証情報やクラウドアクセス権限の奪取を狙っています。
■ 影響範囲
- 対象製品: Checkmarx AST Plugin for Jenkins
- 影響バージョン: 2026.5.09
■ 対応手順
1. Jenkins環境における当該プラグインのバージョンを確認してください。
2. 悪意のあるバージョンが検出された場合は、直ちに削除し、ベンダーが提供する安全なバージョンへダウングレードまたはアップデートを行ってください。
3. プラグイン経由で利用していた秘密鍵やAPIトークン等の認証情報が漏洩した可能性があるため、速やかにローテーション(変更)を実施してください。
■ 参考情報
- Checkmarx公式アドバイザリおよびセキュリティレポートを確認してください。
対応優先度: 高
対応期限: 直ちに
お疲れさまです。CheckmarxのJenkinsプラグインに関する重大なセキュリティインシデントの情報共有です。
■ 概要
CheckmarxのGitHubリポジトリが侵害され、悪意のあるコードが混入した「Checkmarx ASTプラグイン」のバージョン(2026.5.09)が公式マーケットプレイスに配布されました。攻撃者は開発環境の認証情報やクラウドアクセス権限の奪取を狙っています。
■ 影響範囲
- 対象製品: Checkmarx AST Plugin for Jenkins
- 影響バージョン: 2026.5.09
■ 対応手順
1. Jenkins環境における当該プラグインのバージョンを確認してください。
2. 悪意のあるバージョンが検出された場合は、直ちに削除し、ベンダーが提供する安全なバージョンへダウングレードまたはアップデートを行ってください。
3. プラグイン経由で利用していた秘密鍵やAPIトークン等の認証情報が漏洩した可能性があるため、速やかにローテーション(変更)を実施してください。
■ 参考情報
- Checkmarx公式アドバイザリおよびセキュリティレポートを確認してください。
対応優先度: 高
対応期限: 直ちに
Subject: [Urgent] Supply Chain Attack on Checkmarx Jenkins AST Plugin
Dear IT/Security Team,
We are sharing critical information regarding a supply chain attack affecting the Checkmarx Jenkins AST plugin.
■ Overview
Attackers gained unauthorized access to Checkmarx's GitHub repository and published a malicious version (2026.5.09) of the AST plugin to the official marketplace. The goal is to steal developer credentials and cloud access permissions.
■ Scope
- Product: Checkmarx AST Plugin for Jenkins
- Affected Version: 2026.5.09
■ Action Plan
1. Verify the installed version of the Checkmarx AST plugin in your Jenkins environments.
2. If the malicious version is found, remove it immediately and update to a verified safe version.
3. Rotate all API keys, secrets, and credentials that may have been exposed through the compromised plugin.
■ Reference
- Please refer to the official Checkmarx security advisory.
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing critical information regarding a supply chain attack affecting the Checkmarx Jenkins AST plugin.
■ Overview
Attackers gained unauthorized access to Checkmarx's GitHub repository and published a malicious version (2026.5.09) of the AST plugin to the official marketplace. The goal is to steal developer credentials and cloud access permissions.
■ Scope
- Product: Checkmarx AST Plugin for Jenkins
- Affected Version: 2026.5.09
■ Action Plan
1. Verify the installed version of the Checkmarx AST plugin in your Jenkins environments.
2. If the malicious version is found, remove it immediately and update to a verified safe version.
3. Rotate all API keys, secrets, and credentials that may have been exposed through the compromised plugin.
■ Reference
- Please refer to the official Checkmarx security advisory.
Priority: High
Deadline: Immediate