IaC スキャンツール checkmarx/kics の公式 Docker Hub リポジトリと Visual Studio Code 拡張が改ざんされ、開発環境の機密情報を外部へ送信していたことが 4 月 23 日に公表されました。Docker と Socket の調査によると、改ざんされたイメージは 4 月 22 日 14:17 UTC から 15:41 UTC までの約 1 時間半、公開状態にありました。
主なポイント
- 攻撃者は正規の Checkmarx 発行者資格情報で Docker Hub に認証し、
latestを含む 5 つの既存タグを上書きし、新たにv2.1.21系のタグを追加。 - 改ざんされた KICS バイナリはスキャン結果を暗号化して外部エンドポイントへ送信するよう改造されており、IaC に含まれる資格情報や機密構成が標的となる。
- VSCode 拡張のバージョン 1.17.0 / 1.19.0 も悪意あるコードを含み、Bun ランタイム経由で GitHub 上の追加 JavaScript を無検証で実行する挙動が確認された (1.18.0 では除去済)。
- 攻撃者は 3 月に Checkmarx の GitHub Actions を悪用したのと同一の
TeamPCPと見られ、影響ユーザーはイメージ / 拡張の削除に加え GitHub・npm・クラウド・SSH などの資格情報をローテーションする必要がある。
出典: New Checkmarx supply-chain breach affects KICS analysis tool (BleepingComputer)