Erneuter Großangriff auf Checkmarx: KICS und VS-Code infiziert

Die Hackergruppe TeamPCP infiltriert Checkmarx-Tools. KICS-Docker-Images und VS-Code-Erweiterungen stehlen Cloud-Zugangsdaten.

Vertrauen ist in der Softwareentwicklung die härteste Währung. Wenn jedoch ein großes Sicherheitsunternehmen wie Checkmarx innerhalb eines einzigen Monats zum zweiten Mal Opfer eines gezielten Supply-Chain-Angriffs wird, gerät dieses Fundament ins Wanken. Nun wurde bekannt, dass Hacker die Infrastruktur von Checkmarx erneut kompromittiert haben, um bösartigen Code in weitverbreitete Entwickler-Tools einzuschleusen, wie The Hacker News berichtet. Betroffen sind unter anderem das beliebte Infrastructure-as-Code-Tool (IaC) KICS sowie mehrere Erweiterungen für Visual Studio Code.

Der Angriff auf das Herz der Infrastruktur: KICS auf Docker Hub

Der Angriff zielte primär auf das Tool KICS (Keeping Infrastructure as Code Secure) ab. KICS ist ein Open-Source-Sicherheitswerkzeug, das darauf spezialisiert ist, Schwachstellen und Fehlkonfigurationen in Cloud-Infrastrukturen (wie Terraform, Kubernetes oder CloudFormation) zu finden. Mit über 5 Millionen Downloads ist der offizielle Docker-Hub-Container von Checkmarx eine zentrale Komponente in den CI/CD-Pipelines unzähliger Unternehmen.

Die Hacker wendeten eine besonders perfide Methode bei Checkmarx an: Sie tauschten die bestehenden, vertrauenswürdigen Docker-Images gegen infizierte Versionen aus, behielten jedoch die offiziellen Tags bei. Wer also die Versionen v2.1.20, alpine oder schlicht latest abrief, erhielt unwissentlich einen Trojaner statt des Sicherheits-Tools. Zusätzlich veröffentlichten die Hacker eine neue, legitime wirkende Version

mcpAddon.js: Die Anatomie des Diebstahls bei Checkmarx

Die in die Tools injizierte Malware agiert hochgradig spezialisiert. In den VS-Code-Erweiterungen (darunter Checkmarx Developer Assist und Checkmarx AST-Results) entdeckten Forscher der Sicherheitsfirma Socket eine Komponente namens mcpAddon.js. Der Name ist bewusst gewählt, um als Feature des „Model Context Protocol“ (MCP) getarnt zu werden.

Die Funktionsweise der Malware folgt einem mehrstufigen Plan:

1. Datensammlung: Sobald ein infiziertes KICS-Image einen Scan durchführt, generiert die Malware einen unzensierten Bericht, der alle gefundenen Secrets und Zugangsdaten enthält.
2. Exfiltration: Diese Berichte werden verschlüsselt und an einen von den Angreifern kontrollierten Server (audit.checkmarx.cx) gesendet.
3. Credential-Harvesting: Die Malware durchsucht gezielt die Umgebung des Entwicklers nach Token für AWS, Microsoft Azure, Google Cloud (GCP), GitHub-Auth-Token, SSH-Keys sowie Konfigurationsdateien für KI-Tools wie Claude.

Die Schneeball-Reaktion: Worm-ähnliche Ausbreitung

Was diesen Vorfall besonders gefährlich macht, ist die Fähigkeit der Malware zur Selbstreplikation innerhalb der Lieferkette. Die gestohlenen GitHub-Token werden genutzt, um neue „GitHub Actions“-Workflows in den Repositories der Opfer zu erstellen (oft unter dem Namen .github/workflows/format-check.yml). Diese Workflows wiederum extrahieren weitere Secrets aus den Build-Prozessen.

Darüber hinaus nutzen die Angreifer entwendete NPM-Zugangsdaten, um bösartige Updates für Pakete zu veröffentlichen, die vom Opfer verwaltet werden. In einem dokumentierten Fall wurde sogar der Passwortmanager Bitwarden kurzzeitig in Mitleidenschaft gezogen, als eine infizierte Version des Bitwarden-CLI (Version 2026.4.0) für etwa 93 Minuten über NPM verteilt wurde.

Wer steckt dahinter?

Hinter dem Angriff wird die finanziell motivierte Gruppe TeamPCP vermutet. Die Gruppe trat erstmals Ende 2025 in Erscheinung und hat sich auf komplexe Supply-Chain-Angriffe spezialisiert. Auf ihrem X-Account (ehemals Twitter) brüstete sich die Gruppe am Mittwoch mit ihrem Erfolg: „Vielen Dank an die Open-Source-Distribution für einen weiteren sehr erfolgreichen Tag bei PCP inc.“

Dieser Vorfall ist Teil einer größeren Angriffswelle. Dieselbe Infrastruktur wurde bereits im März 2026 genutzt, um den Sicherheitsscanner Trivy sowie die populäre Python-Bibliothek LiteLLM zu kompromittieren. TeamPCP scheint systematisch Vertrauensbeziehungen zwischen Sicherheitsanbietern und Entwicklern auszunutzen, um mit einem einzigen Einbruch Tausende von Downstream-Zielen zu erreichen.

Handlungsempfehlungen: Was Entwickler jetzt tun müssen

Organisationen und Einzelentwickler, die Checkmarx-Tools in den letzten 48 Stunden genutzt oder aktualisiert haben, sollten von einer Kompromittierung ausgehen.

• Rotation von Secrets: Alle API-Schlüssel, Cloud-Zugangsdaten (AWS, Azure, GCP) und GitHub-Token, die während eines KICS-Scans im Zugriff waren, müssen umgehend rotiert werden.
• Audit von Repositories: Überprüfen Sie Ihre GitHub-Repositories auf unerwartete neue Branches oder Workflow-Dateien (insbesondere im .github/workflows/-Verzeichnis).
• Bereinigung der Umgebung: Löschen Sie alle betroffenen Docker-Images lokal und in Ihren Registern. Verwenden Sie vorerst nur verifizierte SHAs statt Tags wie latest.
• Überprüfung von NPM: Falls Sie Pakete auf NPM veröffentlichen, kontrollieren Sie die Versionshistorie auf unautorisierte Veröffentlichungen.