TeamPCP compromette Checkmarx mentre SAP e cPanel affrontano vulnerabilità critiche

TeamPCP ha compromesso il plugin Checkmarx Jenkins AST e lo ha pubblicato sul Marketplace ufficiale mentre SAP ha corretto due vulnerabilità critiche in Commerce Cloud e S/4HANA e la CVE-2026-41940 di cPanel risulta sfruttata attivamente per installare il backdoor Filemanager. Tre incidenti di cybersecurity emersi tra l’8 e l’11 maggio 2026 colpiscono direttamente sviluppatori, imprese e amministratori di server. Il gruppo TeamPCP ha sfruttato accessi residui a repository GitHub per modificare e firmare una versione malevola del plugin Checkmarx, continuando una campagna di supply chain attack iniziata a marzo. SAP ha rilasciato patch urgenti per la CVE-2026-34263, che consente code injection senza autenticazione, e la CVE-2026-34260, una SQL injection ad alto impatto su S/4HANA. Nel frattempo la falla di autenticazione bypass di cPanel viene sfruttata dal threat actor Mr_Rot13 per distribuire un backdoor multifunzionale che ruba credenziali e installa miner, ransomware e botnet. Questi attacchi dimostrano come le supply chain di tool di sviluppo e piattaforme enterprise restino un bersaglio privilegiato. Gli sviluppatori che usano Checkmarx, le aziende che adottano SAP e gli amministratori di hosting cPanel devono applicare patch immediate e verificare i sistemi. La convergenza di questi tre casi in pochi giorni sottolinea la necessità di una difesa proattiva contro attacchi che sfruttano fiducia e catene di fornitura.

TeamPCP torna a colpire Checkmarx con il plugin Jenkins AST compromesso

TeamPCP ha ottenuto accesso al repository GitHub del plugin Checkmarx Jenkins AST e ha pubblicato una versione modificata sul Jenkins Marketplace. Il gruppo ha rinominato il plugin in “Checkmarx-Fully-Hacked-by-TeamPCP-and-Their-Customers-Should-Cancel-Now” aggiornando anche la descrizione con messaggi provocatori. L’attacco arriva poche settimane dopo la compromissione dell’immagine Docker di KICS, di due estensioni VS Code e di un workflow GitHub Actions appartenenti a Checkmarx. In quella campagna il gruppo aveva temporaneamente compromesso anche il pacchetto npm di Bitwarden CLI per distribuire malware di credential stealing. Gli esperti ritengono che TeamPCP abbia sfruttato credenziali non ruotate dopo gli incidenti precedenti mantenendo accessi persistenti alle infrastrutture. Il plugin malevolo poteva sottrarre segreti di sviluppo, token CI/CD e propagare malware ad altri progetti software. Checkmarx ha rilasciato rapidamente la versione corretta 2.0.13-848.v76e89de8a_053 sia su Marketplace sia su GitHub. Gli sviluppatori devono aggiornare immediatamente il plugin e verificare eventuali installazioni precedenti alla patch.

SAP corregge vulnerabilità critiche in Commerce Cloud e S/4HANA

SAP ha pubblicato gli aggiornamenti di sicurezza di maggio 2026 correggendo quindici vulnerabilità tra cui due considerate critiche. La CVE-2026-34263 in Commerce Cloud deriva da una configurazione errata di Spring Security e consente a un attaccante non autenticato di caricare configurazioni malevole ed eseguire codice arbitrario sul server. La seconda falla, identificata come CVE-2026-34260, interessa S/4HANA ed è una vulnerabilità di tipo SQL injection che permette a utenti con privilegi minimi di eseguire query arbitrarie, accedere a dati sensibili o causare crash applicativi. Entrambe le vulnerabilità hanno un impatto elevato su riservatezza, integrità e disponibilità dei sistemi enterprise. SAP afferma di non aver osservato exploit attivi in the wild ma invita tutti i clienti ad applicare immediatamente le patch. Gli aggiornamenti riguardano le versioni più recenti di Commerce Cloud e S/4HANA e richiedono verifiche approfondite dei log di sistema per identificare eventuali tentativi di compromissione. Il caso conferma come le piattaforme ERP e e-commerce restino bersagli prioritari per cybercriminali e attori statali.

La CVE-2026-41940 di cPanel viene sfruttata per installare Filemanager

La vulnerabilità CVE-2026-41940 di cPanel e WHM consente un bypass di autenticazione e viene sfruttata attivamente dal threat actor Mr_Rot13. Gli attaccanti utilizzano script shell scaricati tramite wget o curl per installare un backdoor chiamato Filemanager. Il malware crea chiavi SSH pubbliche per mantenere accessi persistenti, installa web shell PHP per il controllo remoto e ruba credenziali inviandole a domini codificati in ROT13. Il backdoor supporta sistemi Windows, macOS e Linux raccogliendo cronologia bash, dati SSH, password di database e informazioni dettagliate sul dispositivo compromesso. Le analisi mostrano oltre 2.000 indirizzi IP coinvolti negli attacchi automatizzati. Il malware installa inoltre miner di criptovalute, componenti ransomware e botnet per ampliare ulteriormente la compromissione. Gli amministratori che utilizzano cPanel devono aggiornare immediatamente il pannello di gestione, verificare la presenza di chiavi SSH sospette e controllare eventuali web shell lasciate dagli attaccanti. La CVE-2026-41940 rappresenta una minaccia particolarmente critica per ambienti di hosting condiviso e infrastrutture dedicate che gestiscono più clienti contemporaneamente.

Gli attacchi supply chain colpiscono sviluppatori e piattaforme enterprise

I tre incidenti condividono un elemento centrale: lo sfruttamento della fiducia nelle supply chain software e infrastrutturali. Il plugin Jenkins compromesso di Checkmarx mette a rischio migliaia di pipeline CI/CD utilizzate dagli sviluppatori per compilazione e distribuzione del codice. Le vulnerabilità di SAP Commerce Cloud e S/4HANA colpiscono invece aziende enterprise che gestiscono e-commerce, ERP e processi aziendali critici. La falla di cPanel interessa direttamente provider hosting, PMI e amministratori di server che dipendono dal pannello per la gestione quotidiana dei sistemi. Gli sviluppatori devono adottare verifiche rigorose delle dipendenze software e implementare rotazione periodica delle credenziali di accesso ai repository. Le aziende che utilizzano SAP devono accelerare i cicli di patching e monitorare costantemente le attività SQL sospette. Gli amministratori di cPanel devono analizzare i log, cercare accessi persistenti e aggiornare rapidamente tutte le istanze esposte su internet. Questi attacchi dimostrano che persino strumenti di sicurezza e piattaforme enterprise possono trasformarsi in vettori di compromissione quando la supply chain viene violata.

Le organizzazioni devono rafforzare verifiche e controlli zero-trust

Le raccomandazioni operative emerse dopo questi incidenti puntano verso strategie di difesa sempre più proattive. Gli sviluppatori che utilizzano plugin Checkmarx o pacchetti collegati a ecosistemi come TanStack devono verificare le versioni installate e monitorare costantemente le dipendenze software. Le aziende che utilizzano SAP Commerce Cloud e S/4HANA devono applicare immediatamente gli aggiornamenti di maggio 2026 e verificare configurazioni anomale o query sospette nei log. Gli amministratori di cPanel devono ruotare tutte le chiavi SSH, eliminare eventuali web shell e implementare autenticazione multifattore sui pannelli di gestione. L’adozione di lockfile, scanning automatico delle dipendenze, verifica delle firme digitali e monitoraggio dei repository upstream riduce il rischio di compromissioni future. Le organizzazioni devono inoltre applicare modelli zero-trust anche agli strumenti di sviluppo interni e alle piattaforme di gestione server. La formazione continua del personale resta essenziale per identificare attività sospette e ridurre l’efficacia di campagne che sfruttano credenziali residue o repository compromessi.

Maggio 2026 conferma la crescita degli attacchi alle supply chain software

Gli attacchi emersi a maggio 2026 confermano che le supply chain di tool di sviluppo e piattaforme enterprise restano uno degli obiettivi principali del cybercrime moderno. TeamPCP continua a colpire Checkmarx utilizzando tecniche di persistenza e accessi residui mentre SAP dimostra reattività attraverso patch rapide ma evidenzia anche quanto le piattaforme ERP richiedano monitoraggio continuo. La CVE-2026-41940 di cPanel dimostra invece come una falla di autenticazione possa trasformarsi rapidamente in una compromissione persistente capace di distribuire ransomware, botnet e malware multipiattaforma. Le aziende devono investire in monitoraggio continuo, rotazione frequente delle credenziali, verifica delle firme digitali e audit delle dipendenze software. La collaborazione tra vendor, ricercatori di sicurezza e comunità open source continua a rappresentare una delle difese più efficaci contro minacce che evolvono rapidamente e sfruttano automazione, fiducia e complessità delle infrastrutture moderne.