Checkmarx bestätigt Datendiebstahl nach Lieferketten-Angriff

Zusammenfassung

Das Sicherheitsunternehmen Checkmarx hat am Dienstag bestätigt, dass der Lieferketten-Angriff auf sein Open-Source-Projekt KICS auch zu einem Datendiebstahl geführt hat. Die Kompromittierung war eine Folge des Trivy-Lieferketten-Angriffs: Die Angreifer kaperten dabei Dutzende von Versions-Tags einer GitHub Action, um ohne sichtbare Änderungen auf Schadcode zu verweisen. Der Vorfall wird der Hackergruppe TeamPCP zugeschrieben und war Teil einer großangelegten Kampagne, die mehrere Open-Source-Software-Ökosysteme ins Visier nahm, um Zugangsdaten und sensible Informationen zu stehlen. Etwa zur selben Zeit, als Checkmarx getroffen wurde, deuteten Nachrichten von TeamPCP und der Erpressergruppe Lapsus$ darauf hin, dass die beiden Akteure zur Monetarisierung zusammengearbeitet haben könnten. Am Wochenende, einen Monat nach der Kompromittierung, fügte Lapsus$ Checkmarx seiner Leak-Seite im Tor-Netz hinzu und behauptete, Quellcode, Mitarbeiterdatenbanken, API-Schlüssel sowie MongoDB- und MySQL-Zugangsdaten erbeutet zu haben. Checkmarx zufolge stammen die Daten aus den eigenen GitHub-Repositories.

Nach Angaben von Checkmarx verschafften sich die Angreifer mit Zugangsdaten Zugriff auf die GitHub-Umgebung des Unternehmens, die über den Trivy-Hack vom 23. März 2026 kompromittiert worden waren. In diesem Zuge manipulierten sie zwei OpenVSX-Plugins und zwei GitHub-Actions-Workflows.

„Die aktuellen Hinweise deuten darauf hin, dass diese Daten aus den GitHub-Repositories von Checkmarx stammen und dass der Zugang zu diesen Repositories durch den ursprünglichen Lieferketten-Angriff vom 23. März 2026 ermöglicht wurde“, erklärte das Unternehmen am Dienstag.

Das Unternehmen entfernte die schädlichen Pakete, widerrief und tauschte die betroffenen Zugangsdaten aus und blockierte den ausgehenden Zugriff auf die Infrastruktur der Angreifer. Trotz dieser Maßnahmen behielten oder erlangten die Angreifer den Zugang zur Umgebung erneut: Am 22. April veröffentlichten sie eine weitere Runde Schadcode, indem sie ein KICS-Image auf DockerHub, eine GitHub Action, eine VS-Code-Erweiterung und eine Developer-Assist-Erweiterung manipulierten.

Der zweite Vorfall führte zur Kompromittierung des NPM-Pakets der Bitwarden-Kommandozeile (CLI), einer der populärsten Open-Source-Plattformen zur Passwortverwaltung.

Den Abschluss des Angriffs bildete die Veröffentlichung eines 96 GB großen Archivs mit Daten, die laut Lapsus$ von dem Unternehmen gestohlen wurden. „Im Rahmen unserer Untersuchung des Vorfalls haben wir festgestellt, dass die Datenexfiltration am 30. März 2026 stattfand“, so Checkmarx – eine Woche nach der Veröffentlichung des ersten Schadcodes.

Zur Aufarbeitung informierte Checkmarx die Strafverfolgungsbehörden, beauftragte Mandiant mit der Unterstützung der Untersuchung, setzte alle Zugangsdaten umfassend zurück, verschärfte die Sicherheitskontrollen, riegelte den Zugang zu den GitHub-Repositories ab und startete ein Code-Audit.

„Wir befinden uns nun in der Endphase unserer Untersuchung und bestätigen, dass der unbefugte Zugriff vollständig eingedämmt wurde. Wir werden weitere Informationen mitteilen, sobald wir dazu in der Lage sind“, teilte Checkmarx mit.

Checkmarx bestätigt Datendiebstahl nach Lieferketten-Angriff

Ähnliche Artikel

Neueste Artikel