Bahaya CI/CD: Plugin Resmi Jenkins Checkmarx Disusupi Malware Pencuri Kredensial
Perusahaan keamanan aplikasi, Checkmarx, baru saja mengeluarkan peringatan mendesak pada akhir pekan lalu. Sebuah versi berbahaya dari plugin resmi Jenkins Application Security Testing (AST) milik mereka telah dipublikasikan di Jenkins Marketplace.
Insiden ini diklaim oleh kelompok peretas TeamPCP, menandai serangan rantai pasokan (supply-chain attack) ketiga yang dialami oleh firma keamanan tersebut sejak akhir Maret 2026.
Rantai Serangan yang Berkelanjutan
Jenkins adalah salah satu solusi otomatisasi Continuous Integration/Continuous Deployment (CI/CD) yang paling banyak digunakan di dunia untuk membangun, menguji, memindai kode, dan menerapkan pembaruan ke server. Masuknya malware ke dalam pipeline ini merupakan ancaman serius bagi ekosistem pengembang.
Menurut penelusuran insinyur keamanan Adnan Khan dan konfirmasi dari juru bicara perusahaan, TeamPCP berhasil mendapatkan akses ke repositori GitHub Checkmarx. Akses ini tidak didapatkan secara instan, melainkan menggunakan kredensial yang sebelumnya dicuri dalam serangan rantai pasokan Trivy pada bulan Maret lalu.
Peretas bahkan meninggalkan pesan ejekan di bagian “About” plugin yang dimodifikasi: “Checkmarx gagal merotasi secrets lagi. Dengan cinta – TeamPCP.”
Detail Versi Berbahaya dan Dampaknya
Dengan akses tersebut, peretas memublikasikan versi plugin modifikasi yang menyertakan kode pencuri informasi (info-stealer).
- Versi Berbahaya: Versi nakal ini diunggah ke
repo.jenkins-ci.orgpada Sabtu, 9 Mei 2026, dengan nomor versi 2026.5.09. Pembaruan ini dirilis di luar pipeline resmi, serta tidak memiliki tag Git maupun rilis GitHub. - Target Malware: Meskipun Checkmarx belum merinci secara spesifik cara kerja malware ini, serangan sebelumnya dari kelompok yang sama berfokus pada pemanenan kredensial dari lingkungan developer.
Ini bukan pertama kalinya TeamPCP memanfaatkan kredensial curian. Sebelumnya, mereka juga mendalangi kampanye Shai-Hulud di npm dan memublikasikan versi berbahaya dari alat analisis KICS milik Checkmarx di Docker, Open VSX, dan VSCode.
Langkah Mitigasi: Apa yang Harus Dilakukan IT & Developer?
Checkmarx merekomendasikan seluruh pengguna plugin Jenkins AST untuk segera mengambil langkah-langkah berikut:
- Downgrade Segera: Pastikan sistem menggunakan versi yang aman, yakni 2.0.13-829.vc72453fa_1c16 (dirilis pada 17 Desember 2025) atau versi yang lebih lama.
- Anggap Kredensial Telah Bocor: Jika Anda sempat mengunduh versi berbahaya tersebut, asumsikan bahwa kredensial Anda telah dikompromikan.
- Rotasi Secrets: Segera ganti (rotate) semua kredensial, password, kunci API, dan secrets lainnya yang ada di lingkungan tersebut.
- Investigasi: Periksa log sistem untuk mencari tanda-tanda pergerakan lateral (lateral movement) atau persistensi peretas di dalam jaringan.
Di sisi lain, Checkmarx menegaskan bahwa repositori GitHub mereka sepenuhnya terisolasi dari lingkungan produksi pelanggan, sehingga tidak ada data pelanggan yang disimpan di repositori tersebut. Perusahaan saat ini sedang dalam proses memublikasikan versi plugin baru yang telah dibersihkan.
