Верижна атака води до изтичане на вътрешни данни

Компанията за сигурност на приложения Checkmarx потвърди, че киберпрестъпната група LAPSUS$ е публикувала данни, извлечени от нейно частно GitHub хранилище. Инцидентът е пряко свързан със supply chain атака, започнала още през март 2026 г.

Според първоначалните анализи, достъпът е осъществен чрез компрометирани идентификационни данни, придобити в рамките на отделен инцидент, свързан с инструмента Trivy и атакуваща група, известна като TeamPCP.

Как е осъществен пробивът

Разследването сочи към класически сценарий на верижна компрометация, при който атакуващите не атакуват директно целта, а използват вече компрометирани зависимости и потребители.

Ключовите етапи включват:

• кражба на идентификационни данни чрез Trivy supply chain атака
• използване на тези credentials за достъп до GitHub средата на Checkmarx
• публикуване на зловреден код в проекти и артефакти
• поддържане на достъп (persistence) в продължение на седмици

Първоначалният достъп е регистриран на 23 март, а на 22 април атакуващите вече разширяват дейността си с нови злонамерени компоненти.

Зловредни артефакти и разширения

След получаване на достъп, атакуващите са публикували компрометирани версии на:

• Docker образи
• разширения за Visual Studio Code
• разширения за OpenVSX
• компоненти на инструмента KICS (Kubernetes Infrastructure as Code Security)

Тези артефакти са съдържали функционалност за кражба на чувствителна информация, включително:

• API ключове
• токени за достъп
• конфигурационни файлове
• идентификационни данни

LAPSUS$ и публичното изтичане на данните

Checkmarx потвърди, че данните, публикувани от LAPSUS$, произхождат именно от този компрометиран GitHub достъп.

Интересен детайл е, че изтеклият пакет от приблизително 96 GB не е ограничен само до даркуеб канали, а е бил разпространен и чрез публично достъпни (clearnet) платформи, което значително увеличава риска от злоупотреба.

Какво съдържа изтеклата информация

Към момента няма пълна яснота за съдържанието на изтеклите данни, но компанията подчертава:

Потвърдено:

• данните са от вътрешни GitHub хранилища
• не включват клиентска информация (по дизайн)

Все още се разследва:

• точният обем и вид на експонираните файлове
• дали има чувствителни вътрешни конфигурации
• потенциално засегнати вътрешни процеси

Компанията заявява, че при установяване на клиентски данни ще бъдат предприети незабавни уведомления.

Реакция и ограничаване на инцидента

Checkmarx е предприела спешни мерки за ограничаване на щетите:

• блокиране на достъпа до засегнатото GitHub хранилище
• ангажиране на външна forensic компания
• текущо разследване на инцидента
• мониторинг за допълнителна злонамерена активност

Очаква се повече информация да бъде публикувана след приключване на първоначалния анализ.

Supply chain атаките ескалират

Случаят е пореден пример за еволюцията на supply chain атаките, при които:

• една компрометирана услуга води до верижни пробиви
• доверени инструменти се превръщат в атакуващ вектор
• GitHub и CI/CD среди стават основна мишена

Особено притеснително е, че атаката комбинира:

• компрометирани зависимости
• кражба на credentials
• внедряване на зловреден код в легитимни инструменти

Доверените среди като нова атакуваема повърхност

Инцидентът с Checkmarx показва ясно, че доверените разработчески среди вече са една от най-критичните точки в киберсигурността.

Когато атакуващите получат достъп до тях, последствията могат да се разпространят към:

• разработчици
• организации
• крайни потребители

Това превръща защитата на supply chain инфраструктурата в ключов приоритет за всяка технологична компания.