Checkmarx KICS供应链安全事件通报
事件概述
安全研究团队近日披露一起涉及Checkmarx KICS(Keeping Infrastructure as Code Secure)的供应链安全事件。KICS作为基础设施即代码(IaC)安全扫描的开源工具,广泛应用于DevOps与安全团队检测Terraform、Kubernetes及CloudFormation等配置风险。
技术分析显示,Checkmarx官方Docker Hub镜像及VS Code扩展在特定时间窗口内出现异常版本覆盖,存在被篡改风险,可能危及开发者环境安全。
受影响范围
Docker镜像
官方Docker Hub多个标签存在异常版本覆盖,包括alpine、debian、latest、v2.1.20、v2.1.21及其Debian变体标签。
VS Code扩展
部分版本(如1.17.0、1.19.0)被检测出异常行为特征。
风险行为分析
IaC扫描结果外传风险
异常版本可能窃取扫描结果,导致云服务API Key(AWS/Azure/GCP)、Kubernetes集群配置、数据库连接信息及CI/CD访问令牌等敏感凭证泄露。
开发者环境凭证风险
被篡改的VS Code扩展可访问GitHub访问令牌、云服务凭证、包管理器令牌、SSH私钥及环境变量等关键数据。
供应链横向扩散风险
凭证窃取后,攻击者可能渗透企业代码仓库、篡改CI/CD流程、发布恶意依赖包或入侵云生产环境,形成供应链攻击链式反应。
影响评估
- 属供应链级安全事件,影响范围取决于用户使用时段
- 无证据表明所有用户已被入侵,但存在高风险使用历史
- 安全社区建议按高风险事件处置
安全建议
凭证轮换
立即轮换以下凭证:
- 代码托管平台令牌(GitHub/GitLab)
- 云服务访问密钥(AWS/Azure/GCP)
- 包管理器及容器仓库令牌
- SSH私钥与CI/CD环境变量密钥
异常行为检查
需重点审查:
- 代码仓库异常公开记录
- CI/CD流水线配置变更
- 云资源调用异常日志
- 容器及Kubernetes配置完整性
清理与版本回滚
- 停用可疑KICS镜像标签
- 回滚至官方可信版本
- 重新拉取并校验镜像哈希值
开发环境审计
- 执行本地环境安全扫描
- 审计VS Code扩展列表
- 检查Shell历史及凭证存储
事件总结
此次事件凸显供应链安全已成为现代DevOps环境的核心攻击面。攻击者正通过污染工具链实现对企业核心资产的间接控制,建议使用IaC与云原生技术栈的团队将"工具可信性验证"提升至与"代码安全"同等优先级。
来源:Socket安全研究团队/Cyber Kendra