Checkmarx KICS Official Docker Repo comprometido para inyectar código malicioso
Resumen Informativo
De acuerdo a la publicación titulada Checkmarx KICS Official Docker Repo comprometido para inyectar código malicioso, difundida en fecha 23/04/2026 01:02, por el medio Cybersecuritynews (Autor: Guru Baran):
Un importante ataque a la cadena de suministro dirigido al repositorio oficial checkmarx/kics Docker Hub, donde los actores de amenazas enviaron imágenes troyanizadas capaces de recolectar y exfiltrar credenciales confidenciales de desarrolladores y secretos de infraestructura. El monitoreo interno de Docker detectó actividad sospechosa en torno a las etiquetas de imágenes KICS el 22 de abril de 2026 y alertó de inmediato a los investigadores de Socket.
Binario troyanizado y filtración de credenciales El análisis de las imágenes KICS envenenadas reveló que el binario ELF incluido escrito en Golang había sido modificado para incluir telemetría no autorizada y capacidades de filtración de datos completamente ausentes en la versión legítima. Las organizaciones que utilizaron las imágenes afectadas para escanear archivos de infraestructura como código deben tratar cualquier secreto expuesto, credenciales de nube o claves API como potencialmente comprometidos. El binario malicioso compartía la misma dirección del servidor de Comando y Control (C2) como una payload de JavaScript descubierta por separado llamada mcpAddon.js, lo que indica una infraestructura de ataque coordinada de múltiples componentes. Los equipos de seguridad deben tomar las siguientes acciones de inmediato: Eliminar todas las imágenes de KICS Docker, extensiones de VS Code y GitHub Actions afectadas de los sistemas de desarrollador y crear canalizaciones.
Busque conexiones salientes a 94[.]154[.]172[.]43 o audit.checkmarx[.]cx, ejecución inesperada del tiempo de ejecución de Bun y acceso no autorizado a Almacenes de credenciales.npmrc,.env o en la nube Referencias de imágenes de Pin Docker a resúmenes SHA256 verificados en lugar de etiquetas mutables Indicadores clave de compromiso ArtifactIndicatorC2 Endpointhttps://audit.checkmarx[.]cx/v1/telemetryMalicious IP94[.]154[.]172[.]43mcpAddon.js SHA25624680027afadea90c7c713821e214b15cb6c922e67ac01109fb1edb3ee4741d9KICS ELF SHA2562a6a35f06118ff7d61bfd36a5788557b695095e7c9a609b4a01956883f146f50Etiquetas Docker afectadasalpine, Latest, Debian, v2.1.20, v2.1.21, v2.1.20-debian Socket ha revelado sus hallazgos al equipo de seguridad de Checkmarx y continúa publicando análisis técnicos actualizados a medida que se desarrolla la investigación. La publicación Checkmarx KICS Official Docker Repo comprometido para inyectar código malicioso apareció por primera vez en Cyber Security News.
| Fuente: | Cybersecuritynews |
| Título original: | Checkmarx KICS Official Docker Repo comprometido para inyectar código malicioso |
| Publicado: | 23/04/2026 01:02 |
| Enlace: | https://cybersecuritynews.com/checkmarx-kics-compromised |
| Consultado: | 23/04/2026 |
