Checkmarx bestätigt: LAPSUS$ veröffentlicht gestohlene GitHub-Daten

Zusammenfassung

Das auf Anwendungssicherheit spezialisierte Unternehmen Checkmarx hat bestätigt, dass die Angreifergruppe LAPSUS$ Daten veröffentlicht hat, die aus einem privaten GitHub-Repository der Firma stammen. Nach Einschätzung von Checkmarx, dessen Untersuchung noch andauert, erfolgte der Zugriff über den Trivy-Lieferkettenangriff, der der Gruppe TeamPCP zugeschrieben wird. Über diesen Angriff gelangten die Täter an Zugangsdaten nachgelagerter Nutzer und konnten damit auf die GitHub-Repositories von Checkmarx zugreifen. In einer aktuellen Mitteilung bestätigte das Unternehmen, dass die von LAPSUS$ auf einem Erpressungsportal veröffentlichten Daten zu Checkmarx gehören und auf die Kompromittierung vom 23. März zurückgehen. Die Untersuchung wird mit Unterstützung eines führenden externen Forensikunternehmens durchgeführt. Checkmarx versichert, dass die Daten keine Kundeninformationen enthalten, da diese nicht im GitHub-Repository des Unternehmens gespeichert werden. Der Datensatz umfasst nach Recherchen von BleepingComputer 96 GB. Eine forensische Analyse soll nun klären, welche Daten genau offengelegt wurden. Der Zugang zum betroffenen Repository wurde bis zum Abschluss der Untersuchung gesperrt.

Nach Darstellung von Checkmarx begann der Vorfall mit dem Trivy-Lieferkettenangriff, den das Unternehmen der als TeamPCP bekannten Gruppe zuschreibt. Über diesen Angriff gelangten die Täter an Zugangsdaten nachgelagerter Nutzer. Mit diesen gestohlenen Anmeldedaten verschafften sie sich am 23. März Zugriff auf die GitHub-Repositories von Checkmarx und veröffentlichten dort Schadcode.

„Infolge dieses Zugriffs konnten die Angreifer mit der GitHub-Umgebung von Checkmarx interagieren und anschließend Schadcode in bestimmten Artefakten veröffentlichen“, erläutert das Unternehmen.

Am 22. April – durch erneuten Zugriff oder eine über einen Monat bestehende Persistenz – veröffentlichten die Angreifer bösartige Docker-Images sowie VSCode- und Open-VSX-Erweiterungen für den Sicherheitsscanner KICS von Checkmarx. Diese stahlen Zugangsdaten, Schlüssel, Tokens und Konfigurationsdateien.

In einer aktuellen Aktualisierung bestätigte Checkmarx, dass die von LAPSUS$ auf deren Erpressungsportal veröffentlichten Daten dem Unternehmen zuzuordnen sind und aus der Kompromittierung vom 23. März stammen. „Unsere Untersuchung, die mit Unterstützung eines führenden externen Forensikunternehmens durchgeführt wird, zeigt, dass eine cyberkriminelle Gruppe Daten mit Bezug zu Checkmarx im Dark Web veröffentlicht hat“, heißt es in der Mitteilung. Den vorliegenden Erkenntnissen zufolge stammen die Daten aus dem GitHub-Repository des Unternehmens, der Zugang dazu sei über den ursprünglichen Lieferkettenangriff vom 23. März 2026 ermöglicht worden.

Obwohl Checkmarx und andere Medien von einer Veröffentlichung im Dark Web berichteten, stellte BleepingComputer fest, dass LAPSUS$ den 96 GB großen Datensatz auch über Clearnet-Portale verfügbar gemacht hat. BleepingComputer hat den Inhalt der geleakten Daten nicht geprüft. Checkmarx versicherte, dass darin keine Kundeninformationen enthalten seien, da solche nicht im GitHub-Repository gespeichert würden.

Eine forensische Untersuchung soll nun den genauen Umfang der offengelegten Daten klären. Sollten dabei Kundeninformationen gefunden werden, will Checkmarx betroffene Personen umgehend benachrichtigen. Der Zugang zum betroffenen Repository bleibt bis zum Abschluss der Untersuchung gesperrt; weitere Details stellte das Unternehmen innerhalb der nächsten 24 Stunden in Aussicht.

Checkmarx bestätigt: LAPSUS$ veröffentlicht gestohlene GitHub-Daten

Ähnliche Artikel

Neueste Artikel