Nach intensiven Ermittlungen hat Checkmarx nun transparente Details zum Umfang des Sicherheitsvorfalls offengelegt. Das Unternehmen betont ausdrücklich, dass die kompromittierten GitHub-Repositories separat von der produktiven Kundenumgebung betrieben werden und normalerweise keine Kundendaten enthalten. Die forensische Analyse läuft aber noch, um die genaue Natur und den Umfang der veröffentlichten Daten zu klären.
Die Cyberkriminellen-Gruppe LAPSUS$ – bekannt für ihre financially-motivated Anschläge – hat die Daten öffentlich auf ihrer Dark-Web-Leak-Seite präsentiert. Laut der Veröffentlichung beinhalten die Dateien Quellcode, eine Mitarbeiterdatenbank, API-Keys und MongoDB- sowie MySQL-Zugangsdaten.
Der ursprüngliche Angriff vom 23. März 2026 nutzte die sogenannte Trivy-Supply-Chain-Attacke aus. Dabei wurden zwei GitHub-Actions-Workflows und zwei über das Open VSX Marketplace verteilte Plugins mit Credential-Stealing-Malware infiziert. Die Gruppe TeamPCP übernahm die Verantwortung für diese Phase des Angriffs.
In einer Folgeattacke in der Vorwoche wurde zusätzlich das KICS-Docker-Image kompromittiert, zusammen mit zwei VS-Code-Extensions und einem weiteren GitHub-Actions-Workflow – wieder mit ähnlicher Malware zur Diebstahl von Entwickler-Secrets ausgestattet. Diese kaskadierende Wirkung führte sogar zu einer kurzfristigen Kompromittierung des Bitwarden-CLI-npm-Packages.
Checkmarx hat als Maßnahme den Zugriff auf das betroffene GitHub-Repository gesperrt. Das Unternehmen versprach, alle Kunden und relevanten Behörden “unmittelbar” zu informieren, sollten sich Kundendaten als betroffen herausstellen. Für deutsche Nutzer und Unternehmen bleibt die Situation angespannt: Die BSI-Warnung vor Supply-Chain-Attacken auf kritische Infrastruktur nimmt zu, und Checkmarx-Nutzer sollten ihre eigenen Systeme auf verdächtige Aktivitäten überprüfen.