{"id":11367,"date":"2026-03-27T12:58:15","date_gmt":"2026-03-27T18:58:15","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11367"},"modified":"2026-03-27T12:58:15","modified_gmt":"2026-03-27T18:58:15","slug":"alerta-2026-30-ataque-cadena-de-suministro-checkmarx","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2026-30-ataque-cadena-de-suministro-checkmarx\/","title":{"rendered":"Alerta 2026-30 Ataque cadena de suministro Checkmarx"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Checkmarx GitHub Actions:<\/strong> <code>ast-github-action<\/code> y <code>kics-github-action<\/code>.<\/li>\n\n\n\n<li><strong>Extensiones OpenVSX:<\/strong> <code>cx-dev-assist<\/code> (v1.7.0) y <code>ast-results<\/code> (v2.53.0).<\/li>\n\n\n\n<li><strong>Versiones:<\/strong> Tags de GitHub Action publicados entre las 12:58 y 16:50 UTC del 23 de marzo de 2026.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Recientemente se ha identificado un compromiso cr\u00edtico en la cadena de suministro de Checkmarx, un proveedor l\u00edder en soluciones de pruebas de seguridad de aplicaciones (AST). Este incidente forma parte de una campa\u00f1a a gran escala atribuida al actor de amenazas TeamPCP, que tambi\u00e9n ha impactado otros proyectos de c\u00f3digo abierto como Trivy y LiteLLM.<\/p>\n\n\n\n<p>El ataque se origin\u00f3 mediante el compromiso de la cuenta de servicio cx-plugins-releases en GitHub, lo que permiti\u00f3 al atacante inyectar cargas \u00fatiles maliciosas en los flujos de trabajo de CI\/CD mediante el uso de \u00abimposter commits\u00bb y la manipulaci\u00f3n de etiquetas (tags).<\/p>\n\n\n\n<p>El malware inyectado funciona como un credential stealer dise\u00f1ado para recolectar variables de entorno, claves SSH y tokens de proveedores de nube (AWS, Azure, GCP). Los datos recolectados se cifran y se exfiltran mediante peticiones POST hacia el dominio malicioso checkmarx[.]zone. El vector de ejecuci\u00f3n utiliza gestores de paquetes JavaScript comunes como npx, bunx o pnpx para ejecutar el c\u00f3digo malicioso durante los procesos de integraci\u00f3n continua.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n y mitigaciones:<\/h2>\n\n\n\n<p>Tras su detecci\u00f3n, Checkmarx elimino los artefactos maliciosos, se fijaron los flujos de trabajo a hashes SHA de confirmaci\u00f3n seguros y verificados, se revoc\u00f3 y roto todas las credenciales expuestas, se bloque\u00f3 el acceso saliente al dominio controlado por el atacante y se revisaron entornos en busca de cualquier indicio de una mayor vulneraci\u00f3n.<\/p>\n\n\n\n<p>Si se descarg\u00f3 y ejecut\u00f3 alguna de las extensiones mencionadas anteriormente desde el registro de Open VSX, su organizaci\u00f3n podr\u00eda verse afectada y se recomienda tomar las siguientes acciones:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Remover los componentes maliciosos<\/li>\n\n\n\n<li>Revocar y rotar credenciales<\/li>\n\n\n\n<li>Bloquear infraestructura maliciosa<\/li>\n\n\n\n<li>Investigar accesos no autorizados<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/checkmarx.com\/blog\/checkmarx-security-update\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/checkmarx.com\/blog\/checkmarx-security-update\/<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.wiz.io\/blog\/teampcp-attack-kics-github-action\">https:\/\/www.wiz.io\/blog\/teampcp-attack-kics-github-action<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/socradar.io\/blog\/teampcp-checkmarx-github-actions-attack\/\">https:\/\/socradar.io\/blog\/teampcp-checkmarx-github-actions-attack\/<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.sysdig.com\/blog\/teampcp-expands-supply-chain-compromise-spreads-from-trivy-to-checkmarx-github-actions\">https:\/\/www.sysdig.com\/blog\/teampcp-expands-supply-chain-compromise-spreads-from-trivy-to-checkmarx-github-actions<\/a><\/li>\n<\/ul>\n","protected":false},"featured_media":11368,"template":"","class_list":["post-11367","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11367","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11367\/revisions"}],"predecessor-version":[{"id":11370,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11367\/revisions\/11370"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/11368"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11367"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}