A empresa de segurança de aplicações Checkmarx confirmou que o grupo de ameaça LAPSUS$ vazou dados roubados de seu repositório privado no GitHub.
Embora a investigação ainda esteja em andamento, a Checkmarx acredita que o vetor de acesso foi o ataque à cadeia de suprimentos do Trivy, atribuído ao grupo de hackers conhecido como TeamPCP, que teria fornecido, posteriormente, credenciais de usuários afetados.
Com credenciais roubadas obtidas a partir do incidente do Trivy, o threat actor conseguiu acessar os repositórios da Checkmarx no GitHub e publicar código malicioso em 23 de março.
“Como resultado desse acesso, os atacantes conseguiram interagir com o ambiente da Checkmarx no GitHub e, em seguida, publicar código malicioso em determinados artefatos”, informou a empresa.
Em 22 de abril, como resultado de um novo acesso ou de uma persistência de um mês, o atacante publicou imagens Docker maliciosas e extensões para VSCode e Open VSX voltadas ao scanner de segurança KICS da Checkmarx, que roubavam credenciais, chaves, tokens e arquivos de configuração.
Em uma atualização divulgada ontem, a empresa confirmou que os dados publicados pelo grupo LAPSUS$ em seu portal de extorsão pertencem à Checkmarx e tiveram origem na invasão ocorrida em 23 de março.
“Nossa investigação, conduzida com o apoio de uma empresa líder em perícia digital terceirizada, indica que um grupo cibercriminoso publicou dados relacionados à Checkmarx na dark web”, diz a atualização.
“Com base nas evidências disponíveis no momento, acreditamos que esses dados se originaram do repositório da Checkmarx no GitHub e que o acesso a esse repositório foi viabilizado pelo ataque inicial à cadeia de suprimentos de 23 de março de 2026.”
Além disso, o pacote de 96 GB também foi disponibilizado por meio de portais na clearnet.
Segundo análises iniciais, o conteúdo completo dos dados vazados ainda não foi totalmente examinado, mas a Checkmarx afirmou que eles não contêm informações de clientes, já que esse tipo de dado não é armazenado no repositório da empresa no GitHub.
Uma investigação forense está em andamento para determinar o tipo exato de informação exposta.
A empresa informou que, caso sejam encontrados dados de clientes no material vazado, os afetados serão notificados imediatamente.
O acesso ao repositório do GitHub impactado foi bloqueado até a conclusão da investigação.
A Checkmarx estima que poderá compartilhar mais detalhes nas próximas 24 horas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...