#安全资讯 安全工具 Checkmarx 和 KICS 遭到黑客攻击，黑客推送恶意版本用来窃取各类敏感凭证，然后发起类似蠕虫式的感染。最近几天安装 Checkmarx 扩展以及拉取 KICS Docker 镜像的开发者应当立即轮换所有凭证并检查各类登录或连接记录，很可能开发环境和云资源的凭证都已经泄露。查看详情：https://ourl.co/112786

基础设施即代码 (IaC) 安全扫描工具 KICS 日前遭到黑客攻击，黑客篡改 KICS 官方容器镜像添加后门程序并用于收集用户的敏感信息例如各类凭证，然后再利用这些凭证继续展开攻击实现蠕虫式的横向感染，这起攻击幕后黑手可能也是 TeamPCP。

最初发现异常的还是 Docker 公司，该公司内部监控设施发现 KICS 镜像出现可疑活动后立即向安全公司 Socket 发出警报，经过分析后安全公司确认 KICS 所有版本的镜像都被替换为恶意镜像，包括最新发布的 v2.1.20alpine 和 v2.1.21 (此版本纯粹为黑客发布)。

值得注意的是 Checkmarx 开发工具也同样受到影响，该工具最近发布的 VSCode 扩展程序也携带后门，黑客通过添加的恶意代码收集开发环境中的敏感数据，建议使用以上工具的开发者立即轮换所有密钥确保安全。

恶意代码的用途：

对恶意镜像的分析表明，黑客添加的恶意代码最主要的目的就是窃取开发者账户和凭证以及各类云平台 (例如 AWS) 的凭证，窃取的凭证会被压缩和加密然后回传到黑客的服务器。

黑客还会利用窃取的 GitHub 凭证注入新的 Actions 工作流，这个工作流会捕获正常工作流中的可用密钥；恶意代码窃取的 npm 凭证则会用于识别可用的软件包，以便黑客可以利用凭证继续替换恶意 npm 包实现更大范围的感染。

发起攻击的黑客可能是 TeamPCP：

目前没有更加明显的证据来识别背后的攻击者，不过专注于供应链攻击的黑客团队 TeamPCP 转发关于该事件的报道，这似乎在暗示这次攻击也是 TeamPCP 所为。TeamPCP 在转发报道时还嘲讽道：感谢开源软件分发，这让 PCP 公司又度过非常成功的一天。

Docker 团队在识别到异常后已经清除相关恶意镜像，Socket 则建议已经安装或拉取受影响的 Checkmarx 或 KICS 组件的开发者应当认为所有凭证已经泄露，因此需要将所有可能泄露的凭证全部轮换掉提升安全性。

但考虑到这种蠕虫式的攻击，如果在轮换凭证前黑客已经感染其他设施，则单纯的轮换密钥可能无法解决问题，所以开发者还需要进行更详细的检查例如排查凭证连接记录看看是否存在非开发者自己的操作。

via Socket