Израильская компания Checkmarx, специализирующаяся на безопасности приложений и DevSecOps, продолжает расследование громкого supply chain-инцидента, в ходе которого злоумышленники опубликовали связанные с компанией данные на одном из даркнет-ресурсов. История подчеркивает, насколько уязвима цепочка поставок программного обеспечения даже у вендоров безопасности.
Что известно об утечке данных Checkmarx и публикации на Dark Web
По данным Checkmarx, на текущем этапе расследования есть основания полагать, что опубликованные в даркнете материалы происходят из GitHub-репозитория компании. Предполагается, что доступ к нему был получен в рамках начальной supply chain-атаки, датированной 23 марта 2026 года.
Компания подчеркивает, что упомянутый репозиторий физически и логически отделен от продуктивной среды клиентов, а клиентские данные в нем не хранятся. Сейчас специалисты по цифровой криминалистике Checkmarx анализируют характер и объем утечки, чтобы установить точный состав скомпрометированной информации.
В рамках реагирования на инцидент доступ к затронутому GitHub-репозиторию был оперативно заблокирован, а политика управления доступом и ключами пересматривается. Представители компании заявили, что в случае обнаружения клиентской информации среди утекших данных все затронутые стороны будут немедленно уведомлены.
Заявления киберпреступных групп: LAPSUS$ и TeamPCP
Дополнительный резонанс инцидент получил после того, как ресурс Dark Web Informer сообщил в соцсети X о записи на сайте утечек, связанной с кибергруппировкой LAPSUS$. В публикации утверждается, что Checkmarx стала одной из трех новых «жертв» группы.
Согласно описанию листинга, в набор данных якобы входят исходный код, база данных сотрудников, API-ключи, а также учетные данные для MongoDB и MySQL. Независимая верификация этого массива пока затруднена, и Checkmarx официально не подтвердила полный перечень украденной информации, что типично для ранних стадий подобных расследований.
Отдельно от этого, за исходную supply chain-атаку ранее взяла на себя ответственность другая группа — TeamPCP. Именно ей приписывается вмешательство в процессы разработки и публикации программных компонентов Checkmarx.
Supply chain-атака на Trivy, GitHub Actions и расширения VS Code
В конце прошлого месяца Checkmarx пострадала в результате supply chain-атаки, связанной с Trivy — популярным инструментом сканирования контейнеров и инфраструктуры. В ходе атаки злоумышленники внесли изменения в два workflow-файла GitHub Actions и два плагина, распространяемых через маркетплейс Open VSX.
Модифицированные компоненты незаметно внедряли credential stealer — вредоносный модуль, нацеленный на кражу секретов разработчиков: токенов доступа, паролей, ключей API, конфиденциальных переменных окружения. Подобные атаки особенно опасны, поскольку позволяют атакующему «перепрыгивать» между системами, используя легитимные учетные данные.
Позднее тот же злоумышленник, по всей видимости, попытался развить успех, скомпрометировав Docker-образ Checkmarx KICS, два расширения Visual Studio Code и еще один workflow GitHub Actions с аналогичным шпионским функционалом. По данным расследования, это привело к каскадному эффекту — временной компрометации npm-пакета Bitwarden CLI, задействованного в цепочке поставок.
Почему атаки на цепочку поставок настолько опасны
Supply chain-атаки, подобные атаке на Checkmarx, опасны тем, что злоумышленники внедряются не в конечную инфраструктуру компании, а в процессы разработки и поставки ПО. Это позволяет незаметно доставлять вредоносный код или инструменты для кражи данных вместе с легитимными обновлениями и компонентами.
Мировая практика показывает, что атаки на цепочку поставок, вроде инцидентов с SolarWinds или компрометацией отдельных npm/pypi-пакетов, могут затрагивать тысячи организаций сразу. Компрометация репозиториев и GitHub Actions особенно критична для DevOps-сред, где автоматизация развёртывания тесно связана с доступом к секретам и инфраструктуре.
Ключевые меры защиты DevOps и разработчиков
Инцидент с Checkmarx демонстрирует важность комплексного подхода к защите цепочки поставок:
1. Жесткий контроль секретов. Использование менеджеров секретов, регулярная ротация ключей и токенов, запрет хранения паролей и ключей в репозиториях исходного кода.
2. Защита CI/CD-пайплайнов. Ограничение прав GitHub Actions и других CI/CD-систем по принципу наименьших привилегий, проверка сторонних action’ов, валидация артефактов и подписей образов контейнеров.
3. Непрерывный мониторинг цепочки поставок. Использование SBOM (Software Bill of Materials), проверка целостности пакетов, внедрение инструментов для обнаружения аномалий и попыток подмены компонентов.
4. Прозрачность и оперативное уведомление. Быстрая публикация технических деталей инцидентов, индикаторов компрометации (IoC) и рекомендаций по реагированию помогает снизить совокупный ущерб для экосистемы.
История с кибератакой на Checkmarx и утечкой данных на дарквебе еще раз показывает, что безопасность цепочки поставок — критический элемент современной кибербезопасности. Организациям стоит пересмотреть свои DevSecOps-процессы, усилить контроль над CI/CD-инфраструктурой и управлением секретами, а также регулярно обучать команды разработчиков методам безопасной разработки. Чем раньше компании начнут системно относиться к supply chain-рискам, тем ниже вероятность, что следующий громкий инцидент окажется связан именно с их инфраструктурой.
