一个月前，安全公司Checkmarx开发的开源基础设施扫描工具KICS遭遇供应链攻击，黑客组织TeamPCP渗透了KICS的GitHub Actions，植入可窃取凭证的恶意代码，影响了使用该工具进行CI/CD流程的开发人员。如今，KICS再次传出遭遇供应链攻击。

安全公司Socket近日接到Docker的通报，发现KICS的Docker Hub镜像仓库出现恶意镜像。Socket进一步调查发现，攻击者覆盖了原有的标签，并引入了与上游版本不符的新标签。镜像中的KICS二进制文件被篡改，黑客添加了原本不存在的数据收集与外泄功能，使得恶意KICS能够生成未经审查的扫描报告，加密后发送至外部服务器。企业若使用KICS扫描Terraform、CloudFormation或Kubernetes配置，可能受到此次攻击影响。截至目前，Checkmarx尚未对此事作出公开回应。

值得注意的是，经过深入调查，Socket发现Checkmarx的其他开发工具也可能受到影响，其中包括近期发布的Visual Studio Code（VS Code）扩展插件。黑客植入的恶意代码会通过执行环境Bun下载其他附加组件，并在无需用户确认的情况下，从特定的GitHub域名获取并执行JavaScript脚本。究竟恶意代码会造成哪些危害？Socket指出，该恶意软件会收集开发环境及云平台凭证，并泄露至以受害者账号创建的公开GitHub仓库。此外，恶意软件还会利用窃取的GitHub凭证，注入新的GitHub Actions工作流，从中挖掘敏感信息；或利用窃取的NPM凭证，识别可写入的包并尝试发布有问题的版本。Socket强调，黑客并非仅窃取受害环境的数据，而是将开发者的CI/CD访问权限转化为新的供应链攻击途径。

值得注意的是，TeamPCP已在社交平台X上发布消息，暗示此次攻击是其所为并加以嘲讽，但Socket认为，仅凭这一条推文难以确认攻击者身份就是TeamPCP。