Laut SocRadar gibt Lapsus$ an, Java-basierten Anwendungscode kopiert zu haben – konkret werden „Controller, Repositories, Services, Scheduler, Konfigurationsdateien und Spring-Boot-Ressourcen" genannt. Zu dem Leak sollen außerdem Projektpfade gehören, die mit internen Entwicklungsbeständen verknüpft sind, sowie Angular- und Python-Pakete und Informationen zur Cloud-Infrastruktur bei AWS, Azure und Terraform.

Darüber hinaus behaupten die Angreifer, verschiedene Zugangsdaten und weitere Geheimnisse, Nutzerinformationen aus GitHub Enterprise wie Rollen und Kontodetails sowie geschäftliche E-Mail-Adressen entwendet zu haben.

Die Bandbreite der betroffenen Daten geht SocRadar zufolge über reine Entwicklerartefakte hinaus: „Der Dateibaum verweist zudem auf eine große Zahl von SQL-Skripten, Tabellendefinitionen, Views, Sequenzdateien, Batch-Prozessen und Komponenten zur Bestands- oder Auftragsverwaltung." In der Praxis lege dies nahe, dass der mutmaßliche Einbruch auch interne Geschäftsabläufe, Lieferketten-Prozesse und Daten zur Systemadministration berühren könnte, so das Unternehmen.

Lapsus$ hat AstraZeneca auf seiner Tor-basierten Leak-Seite eingetragen und bietet die angeblich gestohlenen Informationen zum Verkauf an, ohne dafür einen Preis festzulegen. Bestätigen sich die Behauptungen der Gruppe, könnte der betroffene Bereich weit reichen und Beschäftigte, Partner, geistiges Eigentum sowie die Lieferkette betreffen.

Der Pharmakonzern hat sich bislang nicht öffentlich zu dem Vorfall geäußert und die Darstellung der Erpressergruppe nicht bestätigt.

Vereinzelt wird ein Zusammenhang zwischen dem mutmaßlichen Angriff auf AstraZeneca und einer kürzlichen Lieferketten-Attacke auf Aquas Schwachstellen-Scanner Trivy vermutet. Sicherheitsforscher zeigen sich jedoch skeptisch und verweisen darauf, dass die Hinweise nur indizienhaft sind.

SecurityWeek hat AstraZeneca um eine Stellungnahme gebeten und will den Artikel aktualisieren, falls das Unternehmen reagiert.