Checkmarxがサプライチェーン攻撃でデータ盗難を確認

Checkmarxは火曜日、先月のKICSオープンソースプロジェクトを標的にしたサプライチェーン攻撃がデータ盗難ももたらしたことを確認しました。

この侵害はTrivyのサプライチェーン攻撃の結果であり、攻撃者は数十のGitHub Actionバージョンタグをハイジャックして、目に見えない変更なしにマルウェアを参照することができました。

悪名高いTeamPCPハッキンググループに起因する今回の侵害は、認証情報と機密情報の盗難を目的として複数のオープンソースソフトウェアエコシステムを標的にした大規模キャンペーンの一部でした。

Checkmarxが攻撃された同時期、TeamPCPと悪名高いLapsus$恐喝グループが投稿したメッセージは、2つの脅威アクターが収益化目的でパートナーシップを組んだ可能性があることを示唆していました。

侵害から1ヶ月後の週末、Lapsus$はCheckmarxをTorベースのリークサイトに追加し、ソースコード、従業員データベース、APIキー、MongoDBおよびMySQL認証情報の盗難を主張しました。

「現在の証拠は、このデータがCheckmarxのGitHubリポジトリから発信し、それらのリポジトリへのアクセスが2026年3月23日の初期サプライチェーン攻撃によって促進されたことを示しています」と、火曜日にCheckmarxは述べました。

ハッカーは3月23日のTrivyハックを通じて侵害された認証情報を使用してCheckmarxのGitHub環境にアクセスし、2つのOpenVSXプラグインと2つのGitHub Actionsワークフローに不正コードを挿入しました。

同社は悪意のあるパッケージを削除し、関連する認証情報を取り消してローテーションし、攻撃者のインフラストラクチャへのアウトバウンドアクセスをブロックしました。

これらの対策にもかかわらず、攻撃者はアクセスを保持するか再度獲得し、4月22日にDockerHub KICSイメージ、GitHubアクション、VS Code拡張機能、およびDeveloper Assist拡張機能に不正コードを挿入することで、新たな悪意のあるコードを公開しました。

2番目のCheckmarx事件は、最も人気のあるオープンソースパスワード管理プラットフォームの1つであるBitwarden command-line interface（CLI）NPMパッケージの侵害をもたらしました。

Checkmarxサプライチェーン攻撃の最終段階は、Lapsus$が同社から盗まれたと主張するデータを含む96GBのアーカイブPublish公開でした。

「インシデント調査の一環として、2026年3月30日にデータの流出が発生したことを特定しました」とCheckmarxは述べています。

問題を解決するための継続的な取り組みの一環として、同社は法執行機関に通知し、調査を支援するためにMandiantを雇用し、より広範な認証情報のリセットを実施し、セキュリティ管理を強化し、GitHubリポジトリへのアクセスをロックダウンし、コード監査を開始しました。

「現在、調査の最終段階にあり、不正なアクセスが完全に封じ込められたことを確認しています。可能な限り早くこれについてさらに詳しくお知らせします」とCheckmarxは述べています。