Атака на цепочку поставок затронула инструменты компании Checkmarx, привела к краже секретов и утечке данных из приватных репозиториев на GitHub. ИБ-исследователи считают, что в этом инциденте участвовали сразу несколько хакерских группировок.
О первой фазе этой атаки стало известно еще на прошлой неделе, 22 апреля 2026 года, когда исследователи из компании Socket Для просмотра ссылки Войдиили Зарегистрируйся вредоносные образы в официальном репозитории Docker для KICS (Keeping Infrastructure as Code Secure) — опенсорсного сканера для поиска уязвимостей в коде и конфигурациях.
Вскоре выяснилось, что злоумышленники подменили не только Docker-образы, но и расширения для VS Code и Open VSX. В них спрятали дополнительный компонент — аддон MCP, который загружал с GitHub инфостилер, ворующий секреты разработчиков.
Вредонос нацеливался на данные, с которыми работает KICS: токены GitHub, учетные данные AWS, Azure и Google Cloud, npm-токены, SSH-ключи, переменные окружения и даже конфигурации Claude.
Собранная информация шифровалась и передавалась на домен audit.checkmarx[.]cx, замаскированный под инфраструктуру самой Checkmarx. Кроме того, в отдельных случаях для эксфильтрации данных автоматически создавались публичные репозитории GitHub.
Окно атаки оказалось совсем коротким — вредоносные Docker-теги были активны примерно полтора часа (с 14:17 до 15:41 UTC 22 апреля). Всем, кто успел скачать вредоносные образы, рекомендовали считать все учетные данные скомпрометированными и срочно их изменить.
Позже представители Checkmarx Для просмотра ссылки Войдиили Зарегистрируйся: в корне этого инцидента лежала произошедшая в марте атака на цепочку поставок, связанная с компрометацией Для просмотра ссылки Войди или Зарегистрируйся (которую приписывают группировке TeamPCP). Таким образом атакующие получили доступ к учетным данным downstream-пользователей и проникли в GitHub-инфраструктуру компании.
Сообщалось, что впервые хакеры получили доступ еще 23 марта 2026 года, и уже тогда они Для просмотра ссылки Войдиили Зарегистрируйся в репозитории Checkmarx. Но, как показало дальнейшее расследование, 30 марта атакующие и вовсе похитили с GitHub данные компании.
Дело в том, что несмотря на все попытки специалистов заблокировать атакующим доступ, хакеры либо сумели сохранить его, либо восстановили позже. В результате, спустя месяц, 22 апреля, произошла вторая фаза атаки, описанная выше и приведшая к компрометации Docker-образов, GitHub Actions и расширений.
Стоит отметить, что на этой неделе история получила продолжение: представители группировки LAPSUS$ опубликовали на своем сайте в даркнете архив объемом около 96 Гб с украденными у Checkmarx данными.
В компании Для просмотра ссылки Войдиили Зарегистрируйся, что это подлинные данные, похищенные хакерами еще в марте текущего года. По словам представителей Checkmarx, утекший дамп содержит исходный код, внутренние БД и ключи доступа (в том числе MongoDB и MySQL). При этом данные клиентов, по предварительной оценке, не были затронуты, так как не хранятся в GitHub-репозиториях.
В Checkmarx заявляют, что уже отозвали и сменили все учетные данные, заблокировали доступ хакеров к GitHub, а также привлекли к расследованию инцидента внешних экспертов (в том числе из компании Mandiant). Сейчас расследование атак почти завершено, и в компании утверждают, что несанкционированный доступ злоумышленников удалось полностью заблокировать.
Всем пользователям KICS и связанных инструментов рекомендуют:
При этом атрибуция этих атак до сих пор остается размытой. Если первичную атаку на Trivy связывают с TeamPCP, то за утечкой данных уже стоит группировка LAPSUS$. Ранее эксперты уже Для просмотра ссылки Войдиили Зарегистрируйся того, что эти группы могут сотрудничать, например, разделяя доступ и монетизацию атак.
Отметим, что побочным эффектом этих взломов уже стала компрометация сторонних проектов, включая npm-пакет менеджера паролей Для просмотра ссылки Войдиили Зарегистрируйся.
О первой фазе этой атаки стало известно еще на прошлой неделе, 22 апреля 2026 года, когда исследователи из компании Socket Для просмотра ссылки Войди
Вскоре выяснилось, что злоумышленники подменили не только Docker-образы, но и расширения для VS Code и Open VSX. В них спрятали дополнительный компонент — аддон MCP, который загружал с GitHub инфостилер, ворующий секреты разработчиков.
Вредонос нацеливался на данные, с которыми работает KICS: токены GitHub, учетные данные AWS, Azure и Google Cloud, npm-токены, SSH-ключи, переменные окружения и даже конфигурации Claude.
Собранная информация шифровалась и передавалась на домен audit.checkmarx[.]cx, замаскированный под инфраструктуру самой Checkmarx. Кроме того, в отдельных случаях для эксфильтрации данных автоматически создавались публичные репозитории GitHub.
Окно атаки оказалось совсем коротким — вредоносные Docker-теги были активны примерно полтора часа (с 14:17 до 15:41 UTC 22 апреля). Всем, кто успел скачать вредоносные образы, рекомендовали считать все учетные данные скомпрометированными и срочно их изменить.
Позже представители Checkmarx Для просмотра ссылки Войди
Сообщалось, что впервые хакеры получили доступ еще 23 марта 2026 года, и уже тогда они Для просмотра ссылки Войди
Дело в том, что несмотря на все попытки специалистов заблокировать атакующим доступ, хакеры либо сумели сохранить его, либо восстановили позже. В результате, спустя месяц, 22 апреля, произошла вторая фаза атаки, описанная выше и приведшая к компрометации Docker-образов, GitHub Actions и расширений.
Стоит отметить, что на этой неделе история получила продолжение: представители группировки LAPSUS$ опубликовали на своем сайте в даркнете архив объемом около 96 Гб с украденными у Checkmarx данными.
В компании Для просмотра ссылки Войди
В Checkmarx заявляют, что уже отозвали и сменили все учетные данные, заблокировали доступ хакеров к GitHub, а также привлекли к расследованию инцидента внешних экспертов (в том числе из компании Mandiant). Сейчас расследование атак почти завершено, и в компании утверждают, что несанкционированный доступ злоумышленников удалось полностью заблокировать.
Всем пользователям KICS и связанных инструментов рекомендуют:
- откатиться на безопасные версии;
- использовать фиксированные SHA-хеши вместо тегов;
- заблокировать подозрительные домены;
- полностью пересоздать окружение.
При этом атрибуция этих атак до сих пор остается размытой. Если первичную атаку на Trivy связывают с TeamPCP, то за утечкой данных уже стоит группировка LAPSUS$. Ранее эксперты уже Для просмотра ссылки Войди
Отметим, что побочным эффектом этих взломов уже стала компрометация сторонних проектов, включая npm-пакет менеджера паролей Для просмотра ссылки Войди
