Checkmarx confirmó el pasado 27 de abril que el ataque a la cadena de suministro de software de marzo de 2026, dirigido a su proyecto de código abierto KICS, también resultó en el robo de datos.
La brecha de seguridad fue consecuencia del ataque a la cadena de suministro de Trivy y permitió a los atacantes secuestrar decenas de tags de versión de GitHub Actions para que apuntaran a malware sin cambios visibles.
Atribuido al grupo de hackers TeamPCP, el ataque formó parte de una gran campaña dirigida a múltiples ecosistemas de software de código abierto para robar credenciales e información confidencial.
Casi al mismo tiempo que Checkmarx fue atacado, mensajes publicados por TeamPCP y el reconocido grupo de extorsión Lapsus$ sugirieron que ambos grupos de ciberdelincuentes podrían haberse asociado con fines de monetización.
Durante el fin de semana pasado, un mes después del ataque, Lapsus$ añadió a Checkmarx a su sitio de filtraciones (leak site) basado en Tor, alegando el robo de código fuente, bases de datos de empleados, claves API y credenciales de MongoDB y MySQL.
“La evidencia actual indica que estos datos se originaron en los repositorios de GitHub de Checkmarx, y que el acceso a dichos repositorios se facilitó mediante el ataque inicial a la cadena de suministro del 23 de marzo de 2026”, escribió el vicepresidente de Ingeniería de plataformas y CISO global de Checkmarx, Udi-Yehuda Tamar, en una publicación de blog.
Protección contra la suplantación
Los hackers accedieron al entorno de GitHub de Checkmarx utilizando credenciales comprometidas mediante el ataque a Trivy el 23 de marzo y realizaron un envenenamiento (poisoning) de dos complementos de OpenVSX y dos flujos de trabajo de GitHub Actions.
La empresa eliminó los paquetes maliciosos, revocó y rotó las credenciales pertinentes y bloqueó el acceso saliente a la infraestructura del atacante.
A pesar de estas medidas, los atacantes mantuvieron o recuperaron el acceso al entorno y, el 22 de abril, publicaron una nueva tanda de código malicioso mediante el envenenamiento de una imagen KICS de DockerHub, una acción de GitHub, una extensión de VS Code y una extensión de Developer Assist.
El segundo incidente de Checkmarx resultó en la vulneración del paquete NPM de la interfaz de línea de comandos (CLI) de Bitwarden, una de las plataformas de gestión de contraseñas de código abierto más populares.
La última fase del ataque a la cadena de suministro de Checkmarx consistió en la publicación de un archivo de 96 GB con datos que Lapsus$ afirma haber robado a la empresa.
“Como parte de nuestra investigación sobre el incidente, identificamos que la exfiltración de datos tuvo lugar el 30 de marzo de 2026”, reconoció Tamar.
Como parte de sus esfuerzos continuos para solucionar el problema, la empresa notificó a las autoridades, contrató a Mandiant para que colaborara en la investigación, realizó un restablecimiento de credenciales más amplio, reforzó los controles de seguridad, bloqueó el acceso a los repositorios de GitHub e inició una auditoría de código.
“Nos encontramos en las etapas finales de nuestra investigación y confirmamos que el acceso no autorizado ha sido completamente contenido. Compartiremos más información al respecto tan pronto como sea posible”, comentó el CISO global de Checkmarx.
