Supply-Chain-AttackenMalwareSchwachstellen

Checkmarx bestätigt Datendiebstahl durch Supply-Chain-Angriff – auch Bitwarden betroffen

Von CyberDeutsch Redaktion
Checkmarx bestätigt Datendiebstahl durch Supply-Chain-Angriff – auch Bitwarden betroffen
Zusammenfassung

Der israelische Softwareentwickler Checkmarx ist Opfer eines umfangreichen Supply-Chain-Angriffs geworden, bei dem Cyberkriminelle nicht nur Malware in mehrere seiner Open-Source-Projekte eingeschleust, sondern auch erhebliche Datenmengen gestohlen haben. Die Angreifer, denen die berüchtigte Hackergruppe TeamPCP und möglicherweise auch die Erpressungsbande Lapsus$ zugeordnet wird, infiltrierten im März 2026 zunächst über einen Angriff auf das Trivy-Projekt die GitHub-Umgebung von Checkmarx. Von dort aus kompromittierten sie mehrere kritische Komponenten und platzierte Malware in beliebten Repositories wie dem Bitwarden-CLI-Paket. Besonders beunruhigend ist, dass die Angreifer ein 96-Gigabyte-Archiv mit Quellcode, Mitarbeiterdatenbanken, API-Keys und Datenbank-Zugangsanmeldedaten exfiltrierten. Für deutsche Unternehmen und Entwickler ist dieser Vorfall hochrelevant, da viele deutsche Firmen auf Open-Source-Tools und besonders auf das beliebte Bitwarden-Passwortmanagement-System angewiesen sind. Die Vorfälle zeigen, wie verwundbar die globale Open-Source-Infrastruktur ist und wie rasch sich Sicherheitslücken in Lieferketten ausbreiten können.

Die Kompromittierung von Checkmarx’ KICS-Projekt war Teil einer koordinierten Kampagne, die mehrere Open-Source-Ökosysteme ins Visier nahm. Wie das Unternehmen mitteilte, erfolgte die Datenexfiltration bereits am 30. März 2026 – eine Woche nachdem Angreifer am 23. März erstmals böswilligen Code veröffentlicht hatten. Die initiale Kompromittierung verlief über Credentials aus dem Trivy-Angriff desselben Tages. Mit diesen gestohlenen Zugangsdaten manipulierten die Hacker GitHub-Action-Version-Tags und zwei OpenVSX-Plugins, ohne dass sichtbare Veränderungen erkennbar waren.

Checkmarx reagierte zunächst mit Gegenmaßnahmen: Das Unternehmen entfernte die malware-verseuchten Pakete, zog betroffene Credentials zurück und blockierte ausgehende Verbindungen zur Infrastruktur der Angreifer. Doch dies erwies sich als unzureichend. Am 22. April publizierten die Hacker eine zweite Welle bösartigen Codes und kompromittierten eine DockerHub-KICS-Image, eine GitHub Action, die VS-Code-Erweiterung und eine Developer-Assist-Extension. Besonders beunruhigend war die Kompromittierung des Bitwarden-CLI-NPM-Pakets – einer der weltweit beliebtesten Open-Source-Passwort-Manager mit Millionen von Nutzern.

Am 27. April veröffentlichte die Lapsus$-Gruppe auf ihrer Tor-basieren Leak-Seite eine 96-Gigabyte-Datenkollekation, die nach eigenen Angaben Quellcode, Mitarbeiterdaten, API-Keys und Datenbankzugänge enthielt. Die enge Zusammenarbeit zwischen TeamPCP und Lapsus$ deutet auf eine professionelle Partnerschaft hin – möglicherweise zum Zweck der Datenmonetarisierung.

Checkmarx beauftragte Mandiant mit der forensischen Untersuchung und führte unternehmensweite Credential-Resets durch. Das Unternehmen benachrichtigte Strafverfolgungsbehörden und ist derzeit in den finalen Phasen der Untersuchung. Die Firma versichert, dass der unbefugte Zugriff vollständig eingedämmt wurde.

Dieser Fall unterstreicht ein zentrales Risiko der modernen Softwareentwicklung: Open-Source-Abhängigkeiten sind oftmals Einstiegspunkte für Angreifer, die damit Tausende nachgelagerter Projekte kompromittieren können. Deutsche Unternehmen und öffentliche Behörden sollten ihre Supply-Chain-Sicherheitspraktiken kritisch überprüfen – insbesondere was die Überwachung und Validierung von Abhängigkeits-Updates betrifft.

Ähnliche Artikel