Giriş
Checkmarx, Jenkins Marketplace’te yer alan değiştirilmiş bir Jenkins AST eklentisinin yayımlandığını duyurdu. Bu durum, siber güvenlik alanında ciddi riskler oluşturmakta ve yazılım tedarik zincirinin güvenliğini tehlikeye atmaktadır.
Saldırı Nasıl Çalışıyor?
Zararlı eklentinin amacı, geliştiricilerin gizli bilgilerini çalmak için istismar edilmiştir. Özellikle, TeamPCP isimli siber suç grubu, yazılım tedarik zincirindeki güven açıklarını kullanarak, Checkmarx sistemlerine yeniden sızmayı başarmıştır.
- Checkmarx Jenkins AST eklentisi: Kullanıcıların 17 Aralık 2025 tarihinde yayımlanan 2.0.13-829.vc72453fa_1c16 sürümünü kullanmaları gerektiği belirtildi.
- Gösterim: 2.0.13-848.v76e89de8a_053 sürümü GitHub ve Jenkins Marketplace’te yayımlandı.
- Önceki olaylar: KICS Docker imajı, iki VS Code eklentisi ve bir GitHub Actions iş akışı ele geçirildi.
Etkilenen Sistemler
Bu saldırılar, Checkmarx’ın geliştirme ortamlarında ve bağımlılık yönetim sistemlerinde geniş kapsamda etkili olmuştur. Yukarıda belirtilen eklentiler ile birlikte, Bitwarden CLI npm paketi de kısa bir süreliğine tehlikeye girmiştir. Bu tür olaylar, geliştiricilerin kritik bilgilerini ifşa etme riski taşımaktadır.
Çözüm ve Korunma
Kullanıcıların aşağıdaki adımları takip etmesi önerilmektedir:
- Checkmarx Jenkins AST eklentisini güncelleyerek 2.0.13-829.vc72453fa_1c16 veya daha yeni bir sürüm kullanmalısınız.
- Yalnızca güvenilir kaynaklardan eklenti yüklemeye dikkat edin.
- Geliştirme ortamlarındaki güvenlik önlemlerini gözden geçirin ve gerekli güncellemeleri yapın.
Sonuç
Kullanıcılar, Checkmarx eklentilerini güncelleyerek, yazılım tedarik zincirindeki bu tür saldırılara karşı kendilerini korumalıdır. Unutmayın, güvenlik önlemlerini almadan kritik sistemlere erişim sağlamak, organizasyonlar için büyük riskler oluşturabilir. Aksi takdirde, siber suç grupları tarafından hedef alınmak kaçınılmaz olacaktır.
