Un ataque a la cadena de suministro afectó al repositorio oficial checkmarx/kics en Docker Hub, donde actores maliciosos introdujeron imágenes trojanizadas capaces de robar credenciales sensibles de desarrolladores y secretos de infraestructura. Docker detectó actividad sospechosa en etiquetas de imágenes KICS el 22 de abril de 2026 y alertó a investigadores de Socket, que confirmaron la sobrescritura y creación de etiquetas maliciosas. KICS es una herramienta open source ampliamente usada para analizar configuraciones de infraestructura como código, lo que la convirtió en un objetivo valioso para el atacante.
Productos afectados
| Producto | Componente | Versiones afectadas | Plataforma/SO |
|---|---|---|---|
| Checkmarx KICS | Imágenes Docker oficiales | alpine, latest, debian, v2.1.20, v2.1.21, v2.1.20-debian | Docker Hub |
| Checkmarx | Extensiones VS Code y Open VSX (cx-dev-assist y ast-results) | cx-dev-assist: 1.17.0, 1.19.0; ast-results: 2.63.0, 2.66.0 | Visual Studio Code/Open VSX |
Solución
Eliminar las imágenes y extensiones comprometidas y rotar todas las credenciales expuestas, además de auditar y limpiar repositorios GitHub y pipelines afectados.
Recomendaciones
Es urgente remover imágenes Docker dañadas, extensiones comprometidas, así como rotar tokens GitHub, credenciales en la nube y secretos de CI/CD. Auditar repositorios buscando workflows no autorizados y actividades sospechosas; bloquear conexiones a IPs y C2 conocidos; y fijar referencias Docker a digests SHA256 verificadas para mitigar riesgos de alteraciones futuras.