HackerangriffeCyberkriminalitätSchwachstellen

Checkmarx bestätigt: LAPSUS$ veröffentlicht gestohlene Daten aus GitHub-Repository

Von CyberDeutsch Redaktion
Checkmarx bestätigt: LAPSUS$ veröffentlicht gestohlene Daten aus GitHub-Repository
Zusammenfassung

Die Sicherheitsfirma Checkmarx hat bestätigt, dass die Hacker-Gruppe LAPSUS$ Daten aus ihrem privaten GitHub-Repository gestohlen und veröffentlicht hat. Der Angriff erfolgte über eine Supply-Chain-Attacke auf das Tool Trivy, das TeamPCP zugeordnet wird und Zugangsdaten von Nutzern kompromittierte. Mit diesen gestohlenen Anmeldedaten gelang es den Angreifern, in Checkmarx' GitHub-Umgebung einzudringen und am 23. März bösartigen Code einzuschleusen. Im April veröffentlichte die Gruppe weitere manipulierte Docker-Images und Browser-Erweiterungen für das Checkmarx-Security-Tool KICS, die Anmeldedaten und Konfigurationsdateien stahlen. Der Datendiebstahl umfasst etwa 96 Gigabyte und wurde nicht nur im Dark Web, sondern auch über öffentliche Kanäle verbreitet. Laut Checkmarx enthalten die geleakten Daten keine Kundeninformationen, da diese nicht im GitHub-Repository gespeichert sind. Für deutsche Unternehmen und Behörden, die auf Checkmarx-Produkte oder die betroffenen Entwickler-Tools setzen, ist eine genaue Überprüfung angestochen, ob eigene Systeme kompromittiert wurden. Der Vorfall verdeutlicht die kritischen Risiken von Supply-Chain-Attacken im Sicherheitssektor selbst.

Die Cyberattacke auf Checkmarx zeigt die Anfälligkeit auch großer Sicherheitsfirmen für gezielte Angriffe. Die Hackergruppe LAPSUS$, bekannt für hochvolumige Datenlecks und Erpressungskampagnen, nutzte methodisch mehrere Angriffsschritte aus. Der Einstiegspunkt war nicht ein direkter Angriff auf Checkmarx, sondern ein vorgelagerter Supply-Chain-Angriff: Die Gruppe TeamPCP kompromittierte das Open-Source-Tool Trivy, das von Millionen Entwicklern zur Container-Sicherheit verwendet wird. Über diesen Weg gelangten die Angreifer an Anmeldedaten von Downstream-Nutzern — einschließlich Checkmarx-Mitarbeitern.

Mit den gestohlenen Credentials verschafften sich die Angreifer am 23. März Zugang zu Checkmarx’ GitHub-Umgebung und begannen, bösartigen Code einzuschleusen. Doch damit nicht genug: Die Angreifer behielten ihre Zugriffsrechte über einen Monat lang. Am 22. April nutzten sie diese Persistenz, um manipulierte Docker-Images und VSCode- sowie Open-VSX-Extensions des KICS-Scanners (Kubernetes Infrastructure as Code Scanner) zu publizieren. Diese Malware-Varianten waren dafür konzipiert, Anmeldedaten, API-Keys, Tokens und Konfigurationsdateien von Nutzern zu exfiltrieren.

Am 5. Mai bestätigte LAPSUS$ schließlich die Veröffentlichung der Daten — zunächst auf dunklen Marktplätzen, später auch auf öffentlich zugänglichen Portalen. Die 96-Gigabyte-Datei enthält Quellcode und interne Dokumentation von Checkmarx. Das Unternehmen betont, dass keine Kundendaten in den GitHub-Repositories gespeichert waren und daher nicht geleakt wurden. Eine forensische Untersuchung durch externe Experten ist im Gange.

Der Fall unterstreicht zwei kritische Lektionen: Erstens sind Supply-Chain-Angriffe eine der gefährlichsten modernen Angriffsmethoden. Das BSI hat dies längst erkannt und empfiehlt deutschen Organisationen dringend, ihre Lieferketten zu überwachen. Zweitens müssen selbst Sicherheitsunternehmen ihre eigenen Systeme verstärkt schützen — ein klassisches Fall von: Schuster, bleib bei deinen Leisten. Checkmarx hat den Zugang zu den betroffenen Repositories blockiert und verspricht, weitere Details innerhalb von 24 Stunden zu veröffentlichen.

Ähnliche Artikel