Успеть за 83 минуты. Разработчиков взломали через сканер уязвимостей Checkmarx KICS
NewsMakerЧто известно об атаке на цепочку поставок Checkmarx.
Злоумышленники незаметно подменили популярный инструмент, которым проверяют код, и успели встроить в него вредоносный компонент, который крал пароли и ключи прямо из рабочих сред разработчиков.
Речь идёт о KICS (Keeping Infrastructure as Code Secure) – бесплатном инструменте с открытым исходным кодом, который помогает находить уязвимости в исходниках, зависимостях и конфигурационных файлах. Разработчики обычно запускают KICS локально или через Docker, при этом инструмент обрабатывает чувствительные данные: учётные записи, токены, ключи доступа и детали внутренней архитектуры.
Компания Socket начала расследовать инцидент после того, как Docker предупредил о вредоносных образах в официальном репозитории checkmarx/kics на Docker Hub . Когда специалисты проверили компоненты, выяснилось, что проблема не ограничилась заражёнными Docker-образами. Вредоносный код проник также в расширения для Visual Studio Code и Open VSX .
Внутри этих расширений находилась скрытая функция под названием «MCP addon». Компонент загружал с жёстко заданного адреса на GitHub файл mcpAddon.js – модуль, который собирал учётные данные и распространялся дальше. Программа целенаправленно искала именно ту информацию, с которой работает KICS: токены GitHub, учётные данные облачных сервисов Amazon Web Services, Microsoft Azure и Google Cloud, токены npm, SSH-ключи, конфигурации Claude и переменные окружения.
Злоумышленники незаметно подменили популярный инструмент, которым проверяют код, и успели встроить в него вредоносный компонент, который крал пароли и ключи прямо из рабочих сред разработчиков.
Речь идёт о KICS (Keeping Infrastructure as Code Secure) – бесплатном инструменте с открытым исходным кодом, который помогает находить уязвимости в исходниках, зависимостях и конфигурационных файлах. Разработчики обычно запускают KICS локально или через Docker, при этом инструмент обрабатывает чувствительные данные: учётные записи, токены, ключи доступа и детали внутренней архитектуры.
Компания Socket начала расследовать инцидент после того, как Docker предупредил о вредоносных образах в официальном репозитории checkmarx/kics на Docker Hub . Когда специалисты проверили компоненты, выяснилось, что проблема не ограничилась заражёнными Docker-образами. Вредоносный код проник также в расширения для Visual Studio Code и Open VSX .
Внутри этих расширений находилась скрытая функция под названием «MCP addon». Компонент загружал с жёстко заданного адреса на GitHub файл mcpAddon.js – модуль, который собирал учётные данные и распространялся дальше. Программа целенаправленно искала именно ту информацию, с которой работает KICS: токены GitHub, учётные данные облачных сервисов Amazon Web Services, Microsoft Azure и Google Cloud, токены npm, SSH-ключи, конфигурации Claude и переменные окружения.