Checkmarx證實遭遇供應鏈攻擊，呼籲用戶採取行動因應

根據Checkmarx初步調查結果指出，根據他們的初步調查結果，駭客的惡意元件僅影響特定時間上傳的Docker映像檔，以及VS Code延伸套件，其餘他們先前發布的正常版本未遭到覆蓋。因此，使用者若是採用在攻擊發生之前的版本，將不受影響。

而對於疑似受到影響的用戶，Checkmarx呼籲儘速封鎖特定網域，並暫時關閉IDE市集的自動更新功能，以SHA雜湊值進行確認，若認為系統可能已部署惡意軟體，就應該更換憑證與相關資料。

該公司指出本次事故影響範圍，涵蓋上架於Docker Hub的KICS映像檔、公開GitHub儲存庫ast-github-action，以及兩款VS Code延伸套件Checkmarx與Checkmarx Developer Assist。他們也公布上架有問題檔案的時間點，KICS映像檔是在世界協調時間（UTC）4月22日中午12時31分至12時59分，GitHub儲存庫是同日下午14時17分至15時41分。不過，對於VS Code延伸套件遭到入侵的確切時間點，Checkmarx仍在調查。