B
今週中
CheckmarxのJenkins ASTプラグインの改ざん版がJenkins Marketplaceに公開されたこと
📌 一言でいうと
CheckmarxのJenkins ASTプラグインの改ざん版がJenkins Marketplaceに公開されたことが判明しました。攻撃グループTeamPCPによるサプライチェーン攻撃であり、資格情報を盗むマルウェアが含まれていた可能性があります。ユーザーは、2025年12月17日に公開されたバージョン2.0.13-829.vc72453fa_1c16以前、または最新の修正済みバージョンを使用することが推奨されています。
🔍該当判定
- CI/CDツールとして『Jenkins』を利用している
- Jenkinsに『Checkmarx AST Plugin』をインストールして利用している
- Checkmarx AST Pluginのバージョンが『2.0.13-829.vc72453fa_1c16』より新しい(または最新版に更新した)
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Jenkins ASTプラグインのバージョンを確認し、安全なバージョン(2.0.13-829.vc72453fa_1c16以前、または最新の修正版)への更新または切り替えを行ってください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Checkmarx Jenkins AST Plugin サプライチェーン攻撃への対応について
お疲れさまです。Checkmarx Jenkins AST Pluginに関する情報共有です。
■ 概要
攻撃グループTeamPCPにより、改ざんされたCheckmarx Jenkins ASTプラグインがJenkins Marketplaceに公開されました。本プラグインを介して資格情報を窃取されるリスクがあります。
■ 影響範囲
- 対象製品: Checkmarx Jenkins AST Plugin
- 影響バージョン: Marketplaceに公開された悪意あるバージョン(詳細な特定バージョンはベンダー通知を確認してください)
■ 対応手順
1. 現在利用しているプラグインのバージョンを確認してください。
2. 2025年12月17日に公開されたバージョン 2.0.13-829.vc72453fa_1c16 または、最新の修正済みバージョン(2.0.13-848.v76e89de8a_053等)が適用されているか確認し、未適用の場合は更新してください。
■ 参考情報
- Checkmarx公式ステートメントおよびJenkins Marketplace
対応優先度: 高
対応期限: 至急
お疲れさまです。Checkmarx Jenkins AST Pluginに関する情報共有です。
■ 概要
攻撃グループTeamPCPにより、改ざんされたCheckmarx Jenkins ASTプラグインがJenkins Marketplaceに公開されました。本プラグインを介して資格情報を窃取されるリスクがあります。
■ 影響範囲
- 対象製品: Checkmarx Jenkins AST Plugin
- 影響バージョン: Marketplaceに公開された悪意あるバージョン(詳細な特定バージョンはベンダー通知を確認してください)
■ 対応手順
1. 現在利用しているプラグインのバージョンを確認してください。
2. 2025年12月17日に公開されたバージョン 2.0.13-829.vc72453fa_1c16 または、最新の修正済みバージョン(2.0.13-848.v76e89de8a_053等)が適用されているか確認し、未適用の場合は更新してください。
■ 参考情報
- Checkmarx公式ステートメントおよびJenkins Marketplace
対応優先度: 高
対応期限: 至急
Subject: [Security Alert] Supply Chain Attack on Checkmarx Jenkins AST Plugin
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting the Checkmarx Jenkins AST plugin.
■ Overview
Threat actor TeamPCP published a modified, malicious version of the Checkmarx Jenkins AST plugin to the Jenkins Marketplace. This plugin may be used to steal credentials.
■ Scope
- Product: Checkmarx Jenkins AST Plugin
- Affected Versions: Malicious versions published to the Jenkins Marketplace.
■ Mitigation Steps
1. Verify the version of the Jenkins AST plugin currently in use.
2. Ensure you are using version 2.0.13-829.vc72453fa_1c16 (published Dec 17, 2025) or the latest patched version (e.g., 2.0.13-848.v76e89de8a_053).
■ Reference
- Checkmarx official advisory and Jenkins Marketplace
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting the Checkmarx Jenkins AST plugin.
■ Overview
Threat actor TeamPCP published a modified, malicious version of the Checkmarx Jenkins AST plugin to the Jenkins Marketplace. This plugin may be used to steal credentials.
■ Scope
- Product: Checkmarx Jenkins AST Plugin
- Affected Versions: Malicious versions published to the Jenkins Marketplace.
■ Mitigation Steps
1. Verify the version of the Jenkins AST plugin currently in use.
2. Ensure you are using version 2.0.13-829.vc72453fa_1c16 (published Dec 17, 2025) or the latest patched version (e.g., 2.0.13-848.v76e89de8a_053).
■ Reference
- Checkmarx official advisory and Jenkins Marketplace
Priority: High
Deadline: Immediate