Serangan Malware pada Gambar Docker KICS dan Ekstensi VS Code yang Mengancam Rantai Pasokan Checkmarx

Peneliti keamanan siber baru-baru ini mengungkapkan adanya serangan malware yang menargetkan gambaran resmi "checkmarx/kics" di Docker Hub. Insiden ini menjadi ancaman serius terhadap keamanan rantai pasokan perangkat lunak perusahaan Checkmarx.

Detail Serangan pada Gambar Docker KICS

Menurut perusahaan keamanan rantai pasokan perangkat lunak Socket dalam sebuah peringatan yang diterbitkan pada 22 April 2026, aktor ancaman tidak dikenal berhasil mengganti tag-tag yang sudah ada, seperti v2.1.20 dan alpine, serta menambahkan tag baru v2.1.21 yang tidak sesuai dengan rilis resmi. Akibatnya, repositori Docker ini telah diarsipkan untuk mencegah penyebaran lebih lanjut.

"Analisis gambar yang terkontaminasi menunjukkan bahwa binary KICS yang dibundel telah dimodifikasi untuk memasukkan kemampuan pengumpulan dan pengiriman data yang tidak ada pada versi resmi," ujar Socket.

Modifikasi malware tersebut memungkinkan pembuatan laporan pemindaian tanpa sensor, mengenkripsi data tersebut, dan mengirimkannya ke endpoint eksternal. Ini menimbulkan risiko besar bagi tim yang menggunakan KICS untuk memindai file infrastruktur sebagai kode, yang sering kali berisi kredensial atau data konfigurasi sensitif.

Infeksi pada Ekstensi Visual Studio Code Terkait

Investigasi lebih lanjut mengungkapkan bahwa alat pengembangan Checkmarx lain, khususnya ekstensi Microsoft Visual Studio Code, juga terpengaruh. Versi ekstensi 1.17.0 dan 1.19.0 didapati mengandung kode berbahaya yang memungkinkan pengunduhan dan eksekusi addon jarak jauh melalui runtime Bun.

"Perilaku ini muncul pada versi 1.17.0 dan 1.19.0, dihapus pada versi 1.18.0, dan menggunakan URL GitHub yang dikodekan secara keras untuk mengambil dan menjalankan JavaScript tambahan tanpa konfirmasi pengguna atau verifikasi integritas," jelas Socket.

Dampak dan Tindakan yang Harus Dilakukan Organisasi

Organisasi yang menggunakan gambar KICS yang terpengaruh untuk memindai konfigurasi Terraform, CloudFormation, atau Kubernetes disarankan menganggap semua rahasia atau kredensial yang terpapar sebagai berpotensi sudah dikompromikan. Risiko kebocoran ini sangat serius mengingat data yang dipindai biasanya sangat sensitif.

Socket menegaskan bahwa bukti yang ada menunjukkan bahwa insiden ini bukan hanya masalah isolated pada Docker Hub, melainkan bagian dari kompromi rantai pasokan yang lebih luas yang memengaruhi beberapa saluran distribusi Checkmarx.

Analisis Redaksi

Menurut pandangan redaksi, serangan ini merupakan peringatan keras tentang risiko rantai pasokan dalam ekosistem perangkat lunak modern. Modifikasi gambar resmi dan ekstensi alat pengembangan menjadi pintu masuk serius bagi pelaku kejahatan siber untuk mencuri data sensitif secara tersembunyi. Rantai pasokan perangkat lunak yang tidak terlindungi dapat berakibat bencana keamanan yang meluas, terutama bagi organisasi yang sangat bergantung pada alat otomatisasi seperti KICS untuk audit infrastruktur.

Lebih jauh, fakta bahwa malware ini menyisipkan kode yang dapat mengunduh dan menjalankan skrip tanpa verifikasi menunjukkan bahwa pelaku memanfaatkan kelemahan dalam proses distribusi dan otentikasi perangkat lunak. Organisasi harus meningkatkan pengawasan terhadap penggunaan gambar Docker dan ekstensi pengembangan, serta menerapkan kebijakan keamanan yang ketat termasuk pemeriksaan integritas dan isolasi lingkungan pengembangan.

Ke depan, penting untuk memantau respons resmi dari Checkmarx dan update perbaikan yang akan dirilis. Pengguna dan organisasi disarankan untuk segera mengganti versi yang terdampak dan melakukan audit keamanan menyeluruh guna mencegah kerugian data lebih lanjut.

Untuk informasi lengkap dan update terkini, baca laporan asli di The Hacker News dan ikuti berita terkait di sumber berita teknologi terkemuka.