Checkmarx/kics-github-action 仓库中的所有发布标签均已遭到入侵,被注入了信息窃取恶意负载。如果您正在使用此 Action 并绑定了任何版本标签,请将您的 CI/CD 密钥视为已泄露,并立即进行轮换。
概述
2026年3月23日,一份关键安全公告被提交,报告称 Checkmarx/kics-github-action 仓库中的所有 Git 标签已被入侵,在 setup.sh 中注入了恶意信息窃取程序。主分支看起来是干净的,但所有发布标签都指向恶意提交,这意味着任何通过版本标签(例如 @v2.1.7、@v1.7.0 或 @latest)引用 KICS Action 的工作流程都在执行攻击者控制的代码。
GitHub 问题 和 Checkmarx/kics-github-action 仓库已不再可用。
更新: 仓库已重新上线。
KICS(保持基础设施即代码安全)是 Checkmarx 的开源 IaC 扫描器,广泛应用于企业 CI/CD 管道中,用于扫描 Terraform、Kubernetes、Docker、CloudFormation 和其他基础设施即代码文件。
此次攻击遵循了与近期 GitHub Actions 供应链攻击相同的标签投毒模式,包括上周的 Trivy GitHub Actions 入侵事件。
所需立即采取的行动
如果您在任何工作流程中使用了 Checkmarx/kics-github-action:
1. 停止使用按版本标签引用的 Action
移除或禁用任何通过版本标签引用 checkmarx/kics-github-action 的工作流程,直至 Checkmarx 确认标签已恢复。
2. 轮换所有密钥
将可访问您 CI/CD 工作流程的每个密钥视为已泄露:云提供商凭证(AWS、Azure、GCP)、SSH 密钥、Kubernetes 令牌、数据库凭证、API 密钥、Docker 注册表凭证以及 GitHub PAT。
3. 今后使用提交 SHA 进行固定
当 Action 恢复到安全状态后,请始终固定到完整提交 SHA:
# SAFE - immutable reference
uses:
checkmarx/kics-github-action@<verified-safe-commit-sha>原始公告中已知的信息
在 GitHub 问题被删除和仓库下线之前,该 GitHub 问题描述了以下内容:
在所有发布标签中注入到 setup.sh 的恶意负载执行了四个不同的操作:
凭证窃取: 该恶意软件针对 AWS、Azure 和 GCP 的云提供商凭证,以及 SSH 密钥和 Kubernetes 服务账户令牌。
CI/CD 运行器内存转储: 该负载对 CI/CD 运行器进程执行内存转储,这是一种与近期供应链攻击一致的技术,攻击者通过读取 /proc/<pid>/mem 来提取存储在 GitHub Actions Runner.Worker 进程内存中的密钥。
加密外泄: 被盗数据被加密并外泄到 checkmarx[.]zone,这是一个旨在冒充合法 Checkmarx 品牌的攻击者控制域名。
持久化机制: 该恶意软件试图通过 systemd 后门进行持久化访问,并在可用集群凭证的环境中部署特权 Kubernetes Pod 来维持访问。
此事件正在发展中
我们正在积极调查此次入侵,并将随着更多信息披露持续更新本文。
致谢
感谢 GitHub 用户 cyril-flieller 发现并报告此次入侵事件。