Firmele de securitate cibernetică se confruntă adesea cu provocări semnificative, iar pentru Checkmarx, ultimele șase săptămâni au fost deosebit de dificile. În ultimele 40 de zile, compania a fost victima a cel puțin unui atac asupra lanțului de aprovizionare care a livrat malware clienților săi în două ocazii separate. Recent, a fost afectată de un atac ransomware efectuat de hackeri în căutare de notorietate.
Seria de nefericiri a început pe 19 martie, odată cu atacul asupra lanțului de aprovizionare al Trivy, un scanner de vulnerabilități larg utilizat. Atacatorii au accesat inițial contul GitHub al Trivy și au folosit acest acces pentru a distribui malware utilizatorilor Trivy, inclusiv Checkmarx. Malware-ul introdus căuta în computerele infectate token-uri de repository, chei SSH și alte credențiale.
Doar patru zile mai târziu, contul GitHub al Checkmarx a fost compromis, începând să distribuie malware utilizatorilor săi. Compania a reușit să izoleze și să remedieze breșa, înlocuind aplicațiile malware cu cele legitime. Cel puțin așa credea Checkmarx la acea vreme.
Pe 22 aprilie, contul GitHub al companiei a distribuit un nou val de malware, sugerând că breșa anterioară nu fusese complet remediată sau că a avut loc un nou atac neidentificat. Compania a intervenit din nou pentru a elimina atacatorii din cont. Conform firmei de securitate Socket, repo-ul oficial Docker Hub Checkmarx/kics a publicat de asemenea pachete malițioase în aceeași perioadă.
Luni, Checkmarx a dezvăluit un nou capitol al acestei saga. Compania a anunțat că un grup de ransomware cunoscut sub numele de Lapsu$ a publicat săptămâna trecută o tranșă de date private pe dark web. Data materialului aruncat pe internet era 30 martie. Pe baza acestei date, se pare că atacatorii și-au menținut accesul la contul GitHub al Checkmarx după descoperirea compromisului din 23 martie și încercările de a-i elimina au eșuat.
„Dovezile actuale indică faptul că aceste date provin din repository-urile GitHub ale Checkmarx și că accesul la aceste repository-uri a fost facilitat prin atacul inițial asupra lanțului de aprovizionare din 23 martie 2023,” a declarat Checkmarx luni. Compania nu a specificat ce tipuri de date au fost scurse.
Checkmarx nu este singura companie de securitate afectată de breșa Trivy. Socket a menționat că o altă firmă de securitate, Bitwarden, a fost de asemenea vizată în același atac asupra lanțului de aprovizionare. Breșa Bitwarden a fost legată de campania Trivy deoarece payload-ul folosit avea același punct final C2 și infrastructura de bază ca malware-ul Checkmarx.
Bitwarden a indicat că un pachet malițios „a fost distribuit pentru scurt timp prin calea de livrare npm pentru @bitwarden/cli@2026.4.0 între orele 5:57 PM și 7:30 PM (ET) pe 22 aprilie 2026.”
Atacul Trivy a fost executat de un grup care se autointitulează TeamPCP. Acest grup face parte din operațiunile de brokeraj de acces, o clasă de hackeri care fură credențiale de la victime și apoi le vinde altor hackeri. Cheia ascensiunii lor este țintirea uneltelor care dețin deja acces privilegiat.
În cazul Checkmarx, se pare că TeamPCP a vândut
Sursa: Ars Tehnica Technology
Poll: Care ar trebui să fie prioritatea principală a companiilor de securitate cibernetică afectate de astfel de atacuri?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply