СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:24
#ИБ

Атака на цепочку поставок Checkmarx затронула плагины и образы

23 March 2026 Checkmarx стал жертвой серьезного инцидента безопасности, связанного с supply chain attack. По данным отчета, атака началась с компрометации артефактов разработчиков после инцидента с Trivy, что создало условия для несанкционированного доступа к инфраструктуре компании и публикации вредоносного кода в репозиториях GitHub.

Атака затронула сразу несколько направлений: plugins, Docker images, GitHub Actions и VS Code extensions. При этом, как уточняется в отчете, инцидент был связан с компонентами Checkmarx One, но не с локальной установкой CxSAST.

Как развивалась атака

Согласно материалам расследования, злоумышленники использовали уязвимости в сканере Trivy, потенциально похищая credentials у пользователей, применявших его в своих рабочих процессах. Получив доступ, они смогли публиковать модифицированные версии компонентов в экосистеме Checkmarx.

В частности, были размещены:

  • модифицированная версия Checkmarx Jenkins AST plugin в Jenkins marketplace;
  • различные plugins в реестре OpenVSX;
  • вредоносные теги и связанные с ними SHA hashes для Docker images, GitHub Actions и VS Code extensions;
  • скомпрометированная версия публичного KICS image на DockerHub.

По данным отчета, атака затронула также несколько расширений, распространявшихся через Microsoft marketplace и Open VSX.

Эксфильтрация данных и последующая утечка

Отдельным этапом инцидента стала data exfiltration, зафиксированная 30 March 2026. Позднее эти данные были опубликованы группой киберпреступников LAPSUS$ 25 April 2026, что усилило масштаб инцидента и создало дополнительные риски для затронутых пользователей и партнеров.

Инцидент показал, что уязвимости в supply chain способны оказывать существенное воздействие как на пользователей, так и на платформы, зависящие от стороннего кода.

Что установило расследование

Checkmarx уточняет, что вредоносные артефакты не перезаписывали известные безопасные версии. Это означает, что клиенты, использовавшие более ранние версии, в ряде случаев остались без изменений и не были затронуты в той же степени, что пользователи скомпрометированных сборок.

Расследование также показало, что речь идет именно о нарушении безопасности отдельных компонентов, связанных с Checkmarx One, а не всей линейки продуктов компании.

Ответные меры Checkmarx

В ответ на атаку компания предприняла комплекс мер по сдерживанию, расследованию и устранению последствий. В работу были вовлечены правоохранительные органы, а также сторонняя компания, специализирующаяся на криминалистическом анализе.

Среди дополнительных мер безопасности:

  • rotation of credentials;
  • ужесточение access control;
  • проведение аудитов кода для подтверждения отсутствия вредоносных вставок;
  • проверка инфраструктуры на признаки несанкционированной активности.

Рекомендации для клиентов

Компания также опубликовала рекомендации для клиентов, потенциально затронутых инцидентом. Им предложено:

  • заблокировать доступ к конкретным domains и IP addresses, связанным с компрометацией;
  • заменить возможные скомпрометированные credentials, включая учетные данные для cloud services и GitHub;
  • удалить вредоносные версии расширений, полученные из OpenVSX;
  • проверить журналы CI/CD и рабочие станции на предмет подозрительной активности, связанной со скомпрометированными plugins.

Для выявления затронутых сред были предоставлены дополнительные инструменты и методики проверки.

Почему этот инцидент важен

История с Checkmarx еще раз демонстрирует, что атаки на supply chain остаются одним из наиболее опасных векторов компрометации. В подобных сценариях злоумышленники воздействуют не только на одного вендора, но и на всю цепочку доверия — от разработчиков до конечных пользователей.

В Checkmarx заявили о намерении усилить защитные механизмы, чтобы снизить риск аналогичных атак в будущем. Ожидается, что текущее расследование завершится формальным анализом первопричины и подготовкой подробного заявления о влиянии инцидента для затронутых клиентов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: