Checkmarx KICS (GitHub Action)

Point de compromission dans la chaîne Rupture · étape CI/CD

Source

amont

Dépendances

deps

Build & CI

CI/CD

Packaging

artefact

Release

provenance

Registres

distribution

Déploiement

admission

Runtime

exécution

Rayon d'explosion — compromission à l'étape CI/CD, propagation possible aux consommateurs. Domaines : Intégration, Release

Gravité élevé

Action GitHub Checkmarx KICS compromise : malware injecté dans tous les tags Git.

tous tags

réécrits (master sain)

setup.sh

infostealer injecté

KICS

scanner IaC

23 mars

avis (2026)

En bref

Date

26/03/2026

Gravité

Élevé

Étape de la chaîne

CI/CD

Domaines SOCLE

Intégration+ Release

Que s'est-il passé ?

Contexte

Le 23 mars 2026, un avis signale que tous les tags Git du dépôt Checkmarx/kics-github-action sont compromis : un infostealer est injecté dans setup.sh. KICS est un scanner IaC open source très utilisé en CI/CD.

Mécanisme

La branche master reste propre, mais tous les tags de release pointent vers des commits malveillants (empoisonnement de tags) : tout workflow référençant l'action par tag (ex. @v2.1.7, @latest) exécute du code attaquant.

Impact

Tout secret accessible aux workflows CI/CD est à considérer compromis (credentials cloud, clés SSH, jetons Kubernetes, PAT GitHub). Même motif que la compromission de Trivy la semaine précédente.

Parades

Épingler les actions par SHA de commit complet (jamais par tag), rotation des secrets exposés, filtrer l'egress des runners, et surveiller les mouvements de tags anormaux.

Chronologie de l'attaque

23 mars 2026

Empoisonnement des tags

Un avis révèle que tous les tags de Checkmarx/kics-github-action pointent vers des commits malveillants injectant un infostealer dans setup.sh.

Comment l'attaquant a procédé

Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :

V-CI-6 Action tierce non épinglée V-REG-1 Account takeover d'éditeur

La leçon à en tirer

Ce qu'il faut retenir

Épingler les actions par SHA (jamais par tag mutable) ; jetons CI scopés et courts ; allowlist d'actions.

Les exigences SOCLE qui auraient limité cet incident

Cet incident se rattache à 3 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :

Intégration SOCLE-INT-GEN-8

Release SOCLE-REL-GEN-6SOCLE-REL-PUB-1

Pour aller plus loin

Checkmarx/KICS compromis : quand les scanners de sécurité deviennent la surface d'attaqueMon analyse, sur le blog KICS et LiteLLM compromis : deux nouvelles attaques supply chain qui confirment un changement d’échelleMon analyse, sur le blog Source d'origineLe compte rendu détaillé de l'incident Vecteurs : CI/CDLes attaques de cette étape de la chaîne Tous les incidentsLe catalogue filtrable

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →