Checkmarx KICS offizielles Docker-Repository kompromittiert zur Einschleusung von Schadcode

Ein signifikanter Lieferkettenangriff zielte auf das offizielle checkmarx/kics Docker Hub Repository ab, bei dem Bedrohungsakteure trojanisierte Images hochluden, die in der Lage waren, sensible Entwickler-Anmeldeinforma Ein signifikanter Lieferkettenangriff zielte auf das offizielle checkmarx/kics Docker Hub Repository ab, bei dem Bedrohungsakteure trojanisierte Images hochluden, die in der Lage waren, sensible Entwickler-Anmeldeinformationen und Infrastrukturgeheimnisse zu sammeln und zu exfiltrieren.

Das interne Monitoring von Docker meldete am 22. April 2026 verdächtige Aktivitäten rund um KICS Image-Tags und warnte umgehend die Socket-Forscher.

Die Untersuchung ergab, dass Angreifer bestehende Tags überschrieben hatten, darunter v2. 1.

20 und alpine, und gleichzeitig ein

20 und alpine, und gleichzeitig ein neues Tag v2. 1.

21 eingeführt hatten, das keine entsprechende legitime Upstream-Veröffentlichung aufweist. Die betroffenen Tags umfassten letztendlich v2.

1. 20-debian, v2.

Aufbau des Materials

1. 20, debian, alpine und latest, die alle seitdem auf ihre vorherigen legitimen Versionen wiederhergestellt wurden.

KICS, eine Abkürzung für Keeping Infrastructure as Code Secure, ist ein Open-Source-Tool, das von DevOps- und Sicherheitsteams häufig verwendet wird, um Terraform-, CloudFormation- und Kubernetes-Konfigurationen auf Sicherheitskonfigurationsfehler zu überprüfen.

Seine breite Einführung in CI/CD-Pipelines machte ihn zu einem besonders attraktiven Ziel für Angreifer der Lieferkette.

Trojanisiertes Binary und Credential Exfiltration Die Analyse der vergifteten KICS-Images ergab, dass das verpackte ELF-Binary, das in Golang geschrieben wurde, so modifiziert worden war, dass es unbefugte Telemetrie- und Datenexfiltrationsfähigkeiten enthielt, die in der legitimen Version völlig fehlten.