AgenceEvana
Retour aux bulletins
Critique2026-03-28CVSS 9.4CVE-2026-33634 (2026-03-21)supply-chainci-cdgithub-actionscheckmarxsast

TeamPCP frappe Checkmarx — La campagne supply chain s'étend aux scanners SAST

Le groupe TeamPCP, déjà responsable de la compromission de Trivy, étend sa campagne aux GitHub Actions de Checkmarx (KICS, AST) et à ses extensions VS Code, dérobant secrets CI/CD et tokens cloud à grande échelle.

Contexte

Quatre jours après avoir compromis Trivy (voir notre bulletin dédié), le threat actor TeamPCP / DeadCatx3 a étendu sa campagne supply chain à Checkmarx, ciblant ses GitHub Actions et ses extensions VS Code. L'attaque confirme une stratégie délibérée : frapper les outils de sécurité eux-mêmes pour atteindre un maximum de pipelines CI/CD.

Timeline de l'attaque

19 mars — Compromission initiale de Trivy (binaires, GitHub Actions, images Docker Hub).

22 mars — La campagne s'étend aux images Docker de Trivy (v0.69.5, v0.69.6).

23 mars, 12h58–16h50 UTC — TeamPCP compromet les GitHub Actions de Checkmarx :

  • 35 tags hijackés via force-push dans checkmarx/kics-github-action et checkmarx/ast-github-action
  • Les tags pointent vers des commits malveillants contenant un infostealer amélioré
  • Publication d'extensions VS Code malveillantes sur le registre OpenVSX : cx-dev-assist v1.7.0 et ast-results v2.53.0 (disponibles ~3 heures avant retrait)

Vecteur d'attaque

L'attaquant a réutilisé des credentials CI/CD volés lors de la compromission de Trivy. Le payload injecté dans les GitHub Actions :

  • Collecte les variables d'environnement, tokens cloud (AWS, GCP, Azure), clés SSH et tokens Kubernetes
  • Ajoute un module de persistance Kubernetes absent de la version Trivy
  • Intègre un mécanisme de fallback utilisant GITHUB_TOKEN pour créer un dépôt d'exfiltration (docs-tpcp) sous le compte de la victime

Indicateurs de compromission (IOCs)

Infrastructure C2 :

  • Domaine : checkmarx.zone (typosquatté)
  • IP : 83.142.209.11
  • Fallback : dépôt GitHub docs-tpcp créé automatiquement dans les comptes victimes

Artefacts : tpcp.tar.gz, payload.enc

Extensions compromises : cx-dev-assist 1.7.0, ast-results 2.53.0 (OpenVSX uniquement)

GitHub Actions compromises : checkmarx/kics-github-action et checkmarx/ast-github-action (35 tags entre 12h58 et 16h50 UTC le 23 mars)

Détection : rechercher dans les logs GitHub Actions toute référence à tpcp.tar.gz, checkmarx.zone ou docs-tpcp. Vérifier si un dépôt docs-tpcp existe sous vos comptes GitHub.

Impact

  • Tout utilisateur des GitHub Actions compromises pendant la fenêtre (12h58–16h50 UTC, 23 mars) a potentiellement exposé ses secrets CI/CD
  • Le payload est un infostealer ciblant : variables d'environnement, tokens cloud, credentials de bases de données, clés SSH, tokens Kubernetes
  • Les extensions VS Code malveillantes ont été téléchargeables pendant ~3 heures

Remédiation

  1. Rotation immédiate de tous les secrets accessibles aux workflows ayant utilisé les actions compromises.
  2. Épingler les GitHub Actions par hash de commit (uses: action@sha256:abc...) — les tags sont mutables.
  3. Auditer les logs de workflow du 19 au 23 mars pour détecter des connexions vers checkmarx.zone, scan.aquasecurtiy.org ou 83.142.209.11.
  4. Vérifier les extensions VS Code installées — désinstaller cx-dev-assist 1.7.0 et ast-results 2.53.0 si installées depuis OpenVSX.
  5. Vérifier les dépôts GitHub de votre organisation pour la présence de docs-tpcp ou tpcp-docs (mécanismes d'exfiltration).
  6. Mettre à jour vers les versions corrigées publiées par Checkmarx.

Le pattern TeamPCP

Cette campagne illustre une évolution tactique : le même jeu de credentials volés est réutilisé en cascade pour compromettre des projets liés. Trivy → Checkmarx → potentiellement d'autres outils. Le CISA a ajouté CVE-2026-33634 à son catalogue KEV le 25 mars 2026.

Retour aux bulletins