Checkmarx bestätigt: GitHub-Daten nach Lieferketten-Angriff im Darknet veröffentlicht

Zusammenfassung

Das israelische Sicherheitsunternehmen Checkmarx hat eingeräumt, dass eine Cyberkriminellen-Gruppe Daten mit Bezug zum Unternehmen im Darknet veröffentlicht hat. Nach derzeitigem Kenntnisstand stammen diese Daten aus dem GitHub-Repository von Checkmarx; der Zugriff darauf sei durch den Lieferketten-Angriff vom 23. März 2026 ermöglicht worden, so das Unternehmen. Checkmarx betont, dass dieses Repository getrennt von der Produktionsumgebung der Kunden geführt werde und dort keine Kundendaten gespeichert seien. Die forensische Untersuchung des Vorfalls dauere an; man arbeite daran, Art und Umfang der veröffentlichten Daten zu verifizieren. Der Zugang zum betroffenen Repository wurde im Rahmen der Reaktion auf den Vorfall gesperrt. Sollte sich herausstellen, dass Kundeninformationen betroffen sind, werde man Kunden und alle relevanten Parteien umgehend benachrichtigen, kündigte das Unternehmen an. Der Hinweis auf die Veröffentlichung kam, nachdem der Dark Web Informer auf X gemeldet hatte, dass die Gruppe LAPSUS$ auf ihrer Leak-Seite drei Opfer beansprucht – darunter Checkmarx. Laut dem Eintrag umfassen die Daten Quellcode, eine Mitarbeiterdatenbank, API-Schlüssel sowie MongoDB- und MySQL-Zugangsdaten.

Checkmarx hat im Zuge seiner laufenden Untersuchung zu dem Sicherheitsvorfall in der Software-Lieferkette mitgeteilt, dass eine Cyberkriminellen-Gruppe Daten des Unternehmens im Darknet publiziert hat. „Auf Basis der aktuellen Erkenntnisse gehen wir davon aus, dass diese Daten aus dem GitHub-Repository von Checkmarx stammen und dass der Zugriff darauf durch den ursprünglichen Lieferketten-Angriff vom 23. März 2026 ermöglicht wurde", erklärte das israelische Sicherheitsunternehmen.

Checkmarx hebt hervor, dass das GitHub-Repository getrennt von der produktiven Kundenumgebung betrieben wird und dort keine Kundendaten abgelegt sind. Die forensische Analyse laufe weiter; man bemühe sich aktiv darum, Art und Umfang der veröffentlichten Daten zu bestätigen. Als Teil der Reaktion auf den Vorfall sei der Zugang zum betroffenen Repository gesperrt worden. Sollte sich zeigen, dass Kundendaten betroffen sind, werde man Kunden und alle relevanten Parteien sofort informieren.

Auslöser der Mitteilung war ein Beitrag des Dark Web Informer auf X: Demnach beansprucht die Cyberkriminellen-Gruppe LAPSUS$ auf ihrer Leak-Seite drei Opfer, eines davon ist Checkmarx. Laut Eintrag enthalten die Daten Quellcode, eine Mitarbeiterdatenbank, API-Schlüssel sowie Zugangsdaten für MongoDB und MySQL.

Der Datenleck-Veröffentlichung war eine Kompromittierung vorausgegangen, die Checkmarx kürzlich infolge des Lieferketten-Angriffs auf Trivy erlitten hatte. Dabei wurden zwei GitHub-Actions-Workflows sowie zwei über den Open-VSX-Marktplatz verteilte Plugins manipuliert, um einen Credential-Stealer auszuliefern, der eine breite Palette von Entwicklergeheimnissen abgreifen kann. Zu diesem Angriff bekannte sich der Akteur TeamPCP.

Kürzlich soll die finanziell motivierte Gruppe zudem das KICS-Docker-Image von Checkmarx kompromittiert haben, ebenso die beiden VS-Code-Erweiterungen und einen GitHub-Actions-Workflow – mit einer ähnlichen Schadsoftware zum Abgreifen von Zugangsdaten. Das hatte eine Kettenwirkung und führte zu einer kurzzeitigen Kompromittierung des npm-Pakets der Bitwarden-CLI.

Checkmarx bestätigt: GitHub-Daten nach Lieferketten-Angriff im Darknet veröffentlicht

Ähnliche Artikel

Neueste Artikel