Er is een gemanipuleerde versie van de Checkmarx Jenkins AST-plugin in de Jenkins Marketplace verschenen. De aanval heeft een CVE-aanduiding gekregen (CVE-2026-33634) met een CVSS-score van 9.4. Checkmarx bevestigt het incident en adviseert gebruikers direct actie te ondernemen.
Hackersgroep TeamPCP heeft de GitHub-repository van de Checkmarx Jenkins AST-plugin hernoemd naar “Checkmarx-Fully-Hacked-by-TeamPCP-and-Their-Customers-Should-Cancel-Now.” De repositorybeschrijving werd gewijzigd in: “Checkmarx fails to rotate secrets again. with love – TeamPCP.” Vervolgens backdoorde de groep de plugin-release zelf. Jenkins-instances die versie 2026.5.09 installeerden, draaien daardoor een gecompromitteerde plugin.
De malware draagt een Dune-thema. Repositories op het gecompromitteerde cx-plugins-releases-account dragen namen als kralizec-navigator-709 en mentat-navigator-124, allemaal voorzien van de beschrijving “A Mini Shai-Hulud has Appeared.”
Dit is niet de eerste keer dat TeamPCP bij Checkmarx binnenkomt. In maart 2026 compromitteerde de groep al checkmarx/ast-github-action en checkmarx/kics-github-action. Tijdens diezelfde campagne werden meer dan 66 npm-pakketten aangetast en raakten minstens 1.000 enterprise SaaS-omgevingen mogelijk blootgesteld. Ook Trivy en LiteLLM waren doelwit. Eerder bleek hoe deze supply chain-aanvallen developer-endpoints treffen, waarbij aanvallers specifiek jagen op cloudcredentials, npm-publicatietokens en SSH-sleutels.
Wat moeten gebruikers doen?
Checkmarx adviseert uitsluitend versie 2.0.13-829.vc72453fa_1c16 te gebruiken, gepubliceerd op 17 december 2025. Wie versie 2026.5.09 heeft geïnstalleerd, moet alle secrets roteren die zichtbaar waren voor de Jenkins-runner: GitHub-tokens, cloudcredentials (AWS/GCP/Azure), Kubernetes-configuraties, Docker-credentials en SSH-sleutels. Daarnaast raadt SOCRadar aan Jenkins-buildlogs te controleren op uitgaand verkeer naar onbekende domeinen en te zoeken naar Dune-gerelateerde repositorynamen in GitHub-organisaties.
Checkmarx werkt aan een nieuwe, schone versie van de plugin en belooft verdere updates.