La empresa israelí Checkmarx, especializada en Application Security y DevSecOps, investiga un grave ataque a la cadena de suministro de software que ha derivado en la publicación de datos vinculados con la compañía en un recurso de la Dark Web. El incidente confirma que incluso los proveedores de seguridad son vulnerables cuando la cadena de suministro no está protegida de forma integral.
Filtración de datos de Checkmarx y posible origen en GitHub
Según la información preliminar facilitada por Checkmarx, los datos publicados en la Dark Web probablemente proceden de un repositorio de GitHub de la compañía. Se sospecha que el acceso a este repositorio se obtuvo en el marco de una supply chain attack fechada el 23 de marzo de 2026, lo que situaría el compromiso inicial semanas antes de la filtración pública.
La empresa ha recalcado que el repositorio afectado está física y lógicamente segregado de los entornos productivos de los clientes y que no almacena información de clientes. Equipos de respuesta a incidentes y peritos forenses digitales analizan actualmente el alcance técnico de la intrusión para determinar con precisión qué artefactos, credenciales o fragmentos de código fuente se han visto comprometidos.
Como parte de la contención, el acceso al repositorio de GitHub afectado fue bloqueado de inmediato y se está revisando en profundidad la política de gestión de accesos, claves y tokens. La compañía ha indicado que, si se confirma la presencia de datos de clientes entre la información filtrada, todas las partes potencialmente afectadas serán notificadas sin demora, siguiendo las mejores prácticas regulatorias y de gestión de incidentes.
LAPSUS$ y TeamPCP: grupos de amenaza vinculados al incidente
El caso ganó visibilidad adicional cuando el portal Dark Web Informer informó en la red social X sobre un anuncio en un sitio de filtraciones asociado con la conocida ciberbanda LAPSUS$. En ese listado se afirma que Checkmarx sería una de tres nuevas “víctimas” del grupo.
De acuerdo con la descripción publicada, el paquete de datos incluiría presuntamente código fuente, una base de datos de empleados, claves de API y credenciales para MongoDB y MySQL. Hasta el momento, no existe una verificación independiente de este conjunto de datos y Checkmarx no ha confirmado el inventario completo de la información robada, algo habitual en las fases iniciales de investigaciones de este tipo.
En paralelo, la responsabilidad por la ataque original a la cadena de suministro ha sido reivindicada por otro colectivo, identificado como TeamPCP, al que se atribuye la manipulación de procesos de desarrollo y publicación de componentes de software de Checkmarx.
Compromiso de Trivy, GitHub Actions y extensiones de VS Code
El incidente se enmarca en una campaña de ataque a la cadena de suministro relacionada con Trivy, una herramienta ampliamente utilizada para el escaneo de contenedores e infraestructura. Durante la intrusión, los atacantes modificaron dos ficheros de workflow de GitHub Actions y dos extensiones distribuidas en el marketplace Open VSX.
Las versiones alteradas incluían de forma encubierta un credential stealer, es decir, un módulo malicioso diseñado para robar secretos de desarrolladores: tokens de acceso, contraseñas, claves de API y variables de entorno sensibles. Este tipo de malware resulta especialmente peligroso en entornos DevOps, ya que permite a los atacantes moverse lateralmente entre sistemas aprovechando credenciales legítimas.
Posteriormente, el mismo actor habría intentado ampliar el alcance del ataque comprometiendo una imagen Docker de Checkmarx KICS, dos extensiones adicionales de Visual Studio Code y otro workflow de GitHub Actions con funcionalidades de espionaje similares. Las investigaciones apuntan a un efecto en cascada: la cadena de suministro comprometida habría afectado temporalmente al paquete npm de Bitwarden CLI, utilizado dentro de ese ecosistema de desarrollo.
Riesgos de los ataques a la cadena de suministro de software
Los ataques a la cadena de suministro son críticos porque el punto de entrada no es la infraestructura final de la empresa, sino sus procesos de desarrollo, integración y distribución de software. El código malicioso o las herramientas de robo de datos se introducen “aguas arriba” y se propagan después mediante actualizaciones, librerías o imágenes de contenedor aparentemente legítimas.
Incidentes como SolarWinds o la manipulación de paquetes en ecosistemas como npm y PyPI han demostrado que una sola brecha en un proveedor puede afectar a miles de organizaciones. Informes recientes de organismos como ENISA y estudios de la industria sitúan los ataques a la cadena de suministro como una de las amenazas de mayor crecimiento, especialmente en entornos con una fuerte dependencia de CI/CD, GitHub Actions y automatización DevOps, donde numerosas credenciales y secretos se concentran en pipelines automatizados.
Buenas prácticas para proteger DevOps, CI/CD y la cadena de suministro
1. Gestión rigurosa de secretos. Es esencial utilizar secret managers dedicados, automatizar la rotación de claves y tokens, aplicar el principio de mínimo privilegio y prohibir el almacenamiento de contraseñas o claves en repositorios de código, incluso si son privados.
2. Endurecimiento de pipelines CI/CD. Las acciones de GitHub y otras plataformas CI/CD deben ejecutarse con permisos estrictamente necesarios, limitar el uso de acciones de terceros no auditadas, validar firmas de imágenes de contenedor y establecer controles de integridad para artefactos antes del despliegue.
3. Visibilidad y monitorización continua de la cadena de suministro. La adopción de SBOM (Software Bill of Materials), el escaneo continuo de dependencias, la monitorización de anomalías en procesos de build y el uso de herramientas específicas para detectar typosquatting y sustitución de componentes reducen de forma significativa la superficie de ataque.
4. Transparencia y respuesta coordinada. La publicación rápida de detalles técnicos, indicadores de compromiso (IoC) y guías de mitigación, como recomiendan organismos como CISA y ENISA, ayuda a que todo el ecosistema pueda reaccionar con rapidez y limite el impacto agregado de un incidente de este tipo.
La ofensiva contra Checkmarx y la posterior filtración de datos en la Dark Web reafirman que la seguridad de la cadena de suministro de software es un pilar crítico de la ciberseguridad moderna. Las organizaciones que dependen de entornos DevOps deberían revisar de forma prioritaria sus procesos de DevSecOps, endurecer sus pipelines CI/CD, mejorar la gestión de secretos y formar de manera continua a sus equipos de desarrollo en prácticas de código seguro. Invertir hoy en visibilidad, control y resiliencia de la cadena de suministro reducirá de forma notable la probabilidad de convertirse en la próxima víctima de un ataque supply chain.
