Trellix hält sich zu den Umständen des Vorfalls bislang bedeckt. Bestätigt ist lediglich, dass ein Teil des Quellcode-Repositorys kompromittiert wurde und dass forensische Fachleute den Einbruch untersuchen. Die Strafverfolgungsbehörden wurden informiert.
Entlastend äußerte sich das Unternehmen zu möglichen Folgen für die Weitergabe des eigenen Codes: Nach bisherigem Erkenntnisstand gebe es keine Belege dafür, dass die Freigabe oder Verteilung des Quellcodes beeinträchtigt oder dass der Quellcode ausgenutzt worden sei. Genauere Angaben kündigte Trellix für die Zeit nach Abschluss der Ermittlungen an.
Solange diese Untersuchung läuft, bleiben zentrale Fragen unbeantwortet. Weder der genaue Zeitraum des Einbruchs noch die Verantwortlichen oder die betroffenen Produkte sind bislang bekannt.
Der zeitliche Zusammenhang legt allerdings eine Verbindung zu einem größeren Angriff auf die Software-Lieferkette nahe. Diese Kampagne zielt auf verschiedene Open-Source-Anwendungen, um sich Zugang zu zahlreichen Unternehmen zu verschaffen. Sie wird den gewinnorientierten Hackergruppen TeamPCP und Lapsus$ zugeschrieben und hat bereits mehrere Sicherheitsfirmen getroffen, darunter Checkmarx, Aqua Security und Bitwarden.
Bei diesem Vorgehen nutzten die Angreifer das Vertrauen in die Infrastruktur der Softwareentwicklung und -sicherheit aus. Sie kompromittierten CI/CD-Pipelines, um manipulierte Updates und schädliche Erweiterungen zu verteilen. Auf diesem Weg ließen sich in großem Umfang Zugangsdaten und Quellcode aus den betroffenen Unternehmensumgebungen abziehen.