Checkmarxが確認：LAPSUS$ハッカーが盗まれたGitHubデータをリーク

アプリケーションセキュリティ企業のCheckmarxは、LAPSUS$脅威グループがプライベートGitHubリポジトリから盗まれたデータをリークしたことを確認しました。

調査は進行中ですが、CheckmarxはアクセスベクトルがTeamPCPとして知られているハッカーグループに起因するTrivyサプライチェーン攻撃であると考えており、これはダウンストリームユーザーからの認証情報へのアクセスを提供しました。

Trivy事件から得た盗まれた認証情報を使用して、脅威アクターはCheckmarxのGitHubリポジトリにアクセスし、3月23日に悪意のあるコードを公開することができました。

「そのアクセスの結果、攻撃者はCheckmarxのGitHub環境と相互作用し、その後特定のアーティファクトに悪意のあるコードを公開することができました」と同社は説明しています。

4月22日、更新されたアクセスまたは1ヶ月間の継続的なアクセスの結果、攻撃者はCheckmarxのKICSセキュリティスキャナーの悪意のあるDockerイメージ、VSCode、およびOpen VSX拡張機能を公開し、認証情報、キー、トークン、および設定ファイルを盗みました。

昨日の更新で、同社はLAPSUS$グループが恐喝ポータルに公開したデータがCheckmarxに属し、3月23日の侵害に由来することを確認しました。

「一流のサードパーティフォレンジック企業のサポートで実施した調査により、サイバー犯罪グループがCheckmarxに関連するデータをダークウェブに公開したことが示されている」と更新されています。

「現在の証拠に基づいて、このデータはCheckmarxのGitHubリポジトリから発生し、そのリポジトリへのアクセスは2026年3月23日の初期サプライチェーン攻撃によって促進されたと考えています。」

Checkmarxおよび他のメディアアウトレットがこのデータがダークウェブにリークされたと報道しましたが、BleepingComputerはLAPSUS$が96GBのデータパックをクリアネットポータルを通じても利用可能にしていることを発見しました。

BleepingComputerはリークされたデータの内容を検査していませんが、Checkmarxは顧客情報が会社のGitHubリポジトリに保存されていないため、それを含まないことを保証しました。

公開されたデータの正確なタイプを判断するためにフォレンジック調査が進行中です。

同社は、リークされたデータで顧客情報が見つかった場合、影響を受けた個人にすぐに通知されると述べています。

影響を受けたGitHubリポジトリへのアクセスは調査が完了するまでブロックされています。Checkmarxは次の24時間以内により詳細な情報を共有できると見積もっています。