TeamPCP의 Supply Chain Attack으로 인한 Jenkins Plugin 침해 및 Secret 관리 실패

Checkmarx tackles another TeamPCP intrusion as Jenkins plugin sabotaged

2026년 5월 11일2분intermediate

AI 요약

Context

Checkmarx의 AST Scanner Jenkins Plugin이 Marketplace를 통해 유포된 악성 버전으로 교체됨. 신뢰 기반의 Plugin 배포 모델을 악용한 공격으로 인해 CI Pipeline 내 소스 코드와 환경 변수, Secret Token에 대한 무단 접근 권한이 노출된 상황.

Technical Solution

유효 버전(2.0.13-829.vc72453fa_1c16) 확인을 통한 악성 코드 실행 차단
Marketplace 내 변조된 Plugin 버전의 즉각적인 폐기 및 신규 보안 버전 배포
Secrets Rotation 실패로 인한 지속적 침투 경로를 차단하기 위한 인증 정보 갱신
Shai-Hulud Wormable Malware의 전파 경로 분석을 통한 Persistence Mechanism 식별
GitHub Actions 및 KICS 도구 등 이전 침해 사례와의 상관관계 분석을 통한 공격 벡터 통합 관리
Plugin Trust Model의 취약점을 보완하기 위한 배포 무결성 검증 프로세스 강화

실천 포인트

- CI/CD Pipeline 내 사용되는 Third-party Plugin의 Hash 값 기반 무결성 검증 도입 - Secret Rotation 정책을 강제화하여 침해 사고 발생 시 공격자의 Persistence 제거 - Marketplace 배포 자동화 파이프라인에 MFA 및 승인 프로세스 적용 - Runtime 환경 변수 및 Token의 최소 권한 원칙(Least Privilege) 적용

태그

#Persistence Mechanism #Supply Chain Attack #CI/CD Pipeline #Wormable Malware #Secret Rotation

원문 읽기