Security

Pelanggaran Rantai Pasokan Checkmarx: Alat Analisis KICS Disusupi Peretas untuk Curi Kredensial

5 minutes ago
2 minutes read

Aktor ancaman siber kembali melancarkan serangan rantai pasokan (supply-chain attack), kali ini menargetkan alat analisis keamanan populer milik Checkmarx. Peretas dilaporkan telah menyusupi image Docker, serta ekstensi VS Code dan Open VSX untuk alat analisis KICS guna memanen data sensitif langsung dari lingkungan pengembang (developer environments).

KICS, kependekan dari Keeping Infrastructure as Code Secure, adalah alat pemindai open-source gratis yang membantu pengembang mengidentifikasi kerentanan keamanan dalam kode sumber, dependensi, dan fail konfigurasi.

Alat ini biasanya dijalankan secara lokal melalui antarmuka baris perintah (CLI) atau Docker, dan bertugas memproses konfigurasi infrastruktur sensitif yang sering kali berisi kredensial, token akses, serta detail arsitektur internal perusahaan.

Detail Serangan dan Cara Kerja Malware

Perusahaan keamanan dependensi, Socket, segera melakukan penyelidikan setelah menerima peringatan dari Docker mengenai adanya image berbahaya yang didorong (pushed) ke repositori resmi checkmarx/kics di Docker Hub.

Penyelidikan tersebut mengungkapkan bahwa kompromi tidak hanya terbatas pada image Docker KICS yang telah disisipi Trojan. Serangan ini juga meluas ke ekstensi VS Code dan Open VSX yang secara diam-diam mengunduh fitur ‘MCP addon’ tersembunyi. Fitur ini secara khusus dirancang untuk mengambil malware pencuri rahasia (secret-stealing malware).

Socket menemukan bahwa fitur ‘MCP addon’ tersebut mengunduh “komponen pencurian kredensial dan propagasi multi-tahap” berupa fail mcpAddon.js dari URL GitHub yang telah ditanamkan (hardcoded).

Menurut para peneliti, malware ini menargetkan data yang sama persis dengan yang diproses oleh KICS. Data sensitif yang diekstraksi meliputi:

  • Token GitHub
  • Kredensial cloud (AWS, Azure, Google Cloud)
  • Token npm
  • Kunci SSH
  • Konfigurasi Claude AI
  • Variabel lingkungan (environment variables)

Data tersebut kemudian dienkripsi dan dieksfiltrasi ke audit.checkmarx[.]cx, sebuah domain palsu yang sengaja dirancang untuk meniru infrastruktur Checkmarx yang sah. Lebih jauh lagi, malware ini secara otomatis membuat repositori GitHub publik sebagai jalur alternatif untuk eksfiltrasi data.

Jendela Waktu Berbahaya dan Dampaknya

Penting untuk diklarifikasi bahwa tag Docker sempat diarahkan ke digest yang berbahaya untuk sementara waktu. Oleh karena itu, dampak peretasan ini sangat bergantung pada kapan pengembang menarik (pull) image tersebut.

Jendela waktu berbahaya untuk image KICS di Docker Hub terjadi pada 22 April 2026 mulai pukul 14:17:59 UTC hingga 15:41:31 UTC. Saat ini, tag yang terdampak telah dipulihkan ke digest image yang sah, dan tag palsu v2.1.21 telah dihapus sepenuhnya dari repositori.

Meskipun kelompok peretas TeamPCP—yang sebelumnya bertanggung jawab atas kompromi rantai pasokan masif pada Trivy dan LiteLLM—secara publik mengklaim serangan ini, para peneliti belum dapat menemukan bukti yang cukup selain korelasi berbasis pola untuk memastikan atribusi tersebut dengan tingkat keyakinan tinggi.

Langkah Mitigasi untuk Pengembang

Checkmarx telah menerbitkan buletin keamanan terkait insiden ini, meyakinkan pengguna bahwa semua artefak berbahaya telah dihapus, dan kredensial internal mereka yang terekspos telah dicabut serta dirotasi. Perusahaan saat ini sedang melakukan investigasi lebih lanjut dengan bantuan pakar eksternal.

Bagi pengembang yang mengunduh KICS pada jendela waktu berbahaya di atas, kredensial dan rahasia sistem Anda harus dianggap telah bocor. Anda sangat disarankan untuk segera merotasi (rotate) seluruh kredensial dan membangun ulang (rebuild) lingkungan kerja dari titik aman yang diketahui.

Selain itu, pengguna alat yang disusupi direkomendasikan untuk melakukan langkah pengamanan berikut:

  1. Blokir Akses Jaringan: Blokir lalu lintas ke checkmarx.cx => 91[.]195[.]240[.]123 dan audit.checkmarx.cx => 94[.]154[.]172[.]43.
  2. Gunakan pinned SHAs untuk memastikan integritas image.
  3. Kembalikan sistem ke versi aman terbaru dari proyek yang disusupi, yaitu:
    • DockerHub KICS: v2.1.20
    • Checkmarx ast-github-action: v2.3.36
    • Checkmarx VS Code extensions: v2.64.0
    • Checkmarx Developer Assist extension: v1.18.0
Tags
5 minutes ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button