Bei dem Angriff auf Checkmarx infiltrierten die Täter die KICS GitHub Action und manipulierten mehrere Versionen. Betroffen sein könnten alle Organisationen, deren automatisierte CI/CD-Pipelines das Werkzeug während eines vierstündigen Fensters am Morgen des 23. März aufriefen. Parallel landeten zwei schädliche Checkmarx-Plug-ins für VS Code in der OpenVSX-Registry, wo sie am selben Tag etwa drei Stunden lang verfügbar waren.

Vollständige Details zum Schadcode hat Checkmarx bislang nicht veröffentlicht. Das Unternehmen bestätigt aber, dass die beiden Vorfälle zusammenhängen. Die Empfehlung, in betroffenen Build-Pipelines umgehend sämtliche Zugangsdaten, Zugriffsschlüssel und Anmeldedaten zu rotieren, deutet darauf hin, dass es sich beim Schadcode um einen Infostealer handelt. Auf Anfrage erklärte ein Checkmarx-Sprecher, man habe Kunden bereits informiert und arbeite an einer Aktualisierung, wonach die schädlichen Artefakte aus OpenVSX entfernt worden seien; die Untersuchung laufe weiter.

Der Vorfall reiht sich in eine breitere Angriffswelle ein. Aqua Security hatte zuvor berichtet, dass ein Akteur mit gestohlenen privilegierten Zugangsdaten 76 von 77 Versionen der Trivy GitHub Action mit einem Infostealer verseuchte und über ein kompromittiertes Dienstkonto zwei manipulierte Docker-Images veröffentlichte.

GitGuardian meldete, dass sich die Kampagne auf die Paketregistry PyPI ausgeweitet hat: Dort infizierte der von GitGuardian als TeamPCP bezeichnete Akteur die Litellm-Pakete in den Versionen 1.82.7 und 1.82.8 mit derselben Schadsoftware wie bei Trivy. Der Infostealer ermöglicht laut GitGuardian den umfassenden Diebstahl von Zugangsdaten, darunter SSH-Schlüssel, Cloud-Zugangsdaten, API-Tokens, Docker-Konfigurationen und Informationen zu Krypto-Wallets. Die PyPI-Betreiber haben die betroffenen Pakete inzwischen entfernt.

Litellm wird zum Bau KI-gestützter Anwendungen genutzt, weshalb die mögliche Reichweite groß ist. “Litellm wird täglich millionenfach heruntergeladen, und es ist sehr wahrscheinlich, dass die Reichweite erheblich ist – trotz der schnellen Reaktion von PyPI beim Entfernen des schädlichen Pakets”, sagte Guillaume Valadon von GitGuardian gegenüber Dark Reading. Für ihn ist die Botschaft eindeutig: Angreifer hätten es auf Geheimnisse abgesehen, weshalb ein Echtzeit-Inventar kompromittierter Zugangsdaten entscheidend sei, um diese sofort zu widerrufen.

Nach Valadons Einschätzung gehören die Angriffe auf Trivy, die Checkmarx-Plug-ins, die KICS GitHub Action und Litellm zusammen: Sie teilten ähnliche Kompromittierungsindikatoren wie den öffentlichen Schlüssel zur Datenexfiltration, die anvisierten Dienste und Dateien sowie die Persistenztechnik. Eine von den Angreifern hinterlassene Nachricht – ein Link zum Queen-Video “The Show Must Go On” – deute darauf hin, dass dies erst der Anfang sei.

Auch Wiz Research verfolgt die Kampagne und schreibt sie TeamPCP zu; die eigene Telemetrie weise auf einen gemeinsamen Akteur hinter den Vorfällen bei Trivy, Checkmarx und Litellm hin. Wiz geht davon aus, dass TeamPCP mit der Erpressergruppe LAPSUS$ zusammenarbeitet. “Das ist nicht bloß Diebstahl von Zugangsdaten, sondern eine ökosystemweite Kaskade, die auf den modernen Cloud-nativen und KI-Technologiestapel zielt”, erklärte Ben Read von Wiz. Litellm sei in 36 Prozent aller Cloud-Umgebungen vorhanden. Öffentliche Telegram-Nachrichten der Täter warnten vor einem “Schneeballeffekt” und künftigen Zielen unter beliebten Open-Source-Projekten. Die OpenVSX-Plug-ins gehörten laut Read ebenfalls zur Kampagne, da sie denselben Code und öffentlichen Schlüssel nutzten.