Checkmarkxは3月のセキュリティ侵害の悲劇的な続編に直面しており、プライベートGitHubリポジトリから流出したデータがLAPSUS$集団の所有物として浮上しています。同組織は、侵入はTrivyを含むサプライチェーン攻撃に由来し、最初のアクセスは侵害された管理者認証情報によって促進されたと主張しています。
データプライバシーソリューション
Checkmarkxの事後分析によると、認証情報の盗難はTeamPCPグループに関連する作戦に起因しています。3月23日に同社のGitHubリポジトリへのアクセスを確保した後、攻撃者はビルド環境を巧みに操作し、複数のアーティファクト内に悪意のあるコードを秘密裏に埋め込みました。
1か月後、危機は劇的にエスカレートしました。4月22日、攻撃者は侵害されたDockerイメージをKICSセキュリティスキャナー用のVSCodeおよびOpen VSX拡張機能とともに配布しました。これらのコンポーネントは、無警戒なユーザーから認証情報、暗号化キー、トークン、設定ファイルを収集するために細心に設計されました。
Checkmarkxは、LAPSUS$によって公開されたテレメトリが確かに本物であり、進行中の調査によると、3月に侵害されたGitHubリポジトリに由来することを確認しました。この法医学的調査は、専門の第三者デジタル法医学企業のサポートにより実施されています。
Checkmarkxと様々なメディアは当初、リークをダークウェブフォーラムと関連付けていましたが、BleepingComputerは、LAPSUS$が公開アクセス可能なクリアネットプラットフォーム経由で96GBのアーカイブも配布したと報告しています。この膨大なデータキャッシュの具体的な内容は、独立した第三者によって未検証のままです。
Checkmarkxは、そのような機密データはGitHubリポジトリに保存されていないため、クライアント情報は侵害されないままであるべきだと主張しています。それでも、監査は継続中です。調査が公開材料の中からクライアント固有のレコードを発掘した場合、同社は影響を受けた当事者に直接通知することを誓約しています。影響を受けたリポジトリへのアクセスは、調査の最終的な結論まで停止したままであり、さらに詳しい情報の開示が間もなく予想されています。
