Hackers filtran a la red un enorme archivo con el código fuente de Checkmarx
Contenido de repositorios antes protegidos ahora es de acceso público.
Checkmarx se enfrentó a una continuación desagradable del ataque de marzo: datos robados de un repositorio privado de GitHub aparecieron en poder del grupo LAPSUS$. La empresa considera que el incidente se originó en un ataque a la cadena de suministro relacionado con Trivy, y que los atacantes obtuvieron el acceso inicial mediante credenciales robadas.
Según Checkmarx, el robo de credenciales ocurrió tras un ataque atribuido al grupo TeamPCP. Tras obtener acceso a los repositorios de la empresa en GitHub, el 23 de marzo los atacantes pudieron interferir en el entorno de trabajo de Checkmarx y colocar código malicioso en parte de los artefactos.
Un mes después el problema tuvo un nuevo desarrollo. El 22 de abril los atacantes publicaron imágenes Docker maliciosas, así como extensiones para VS Code y Open VSX para el escáner de seguridad KICS. Según la empresa, estos componentes estaban dirigidos a robar credenciales, claves, tokens y archivos de configuración.
Checkmarx informó que los datos publicados por LAPSUS$ sí pertenecen a la empresa y, según la versión actual de la investigación, proceden del repositorio de GitHub comprometido el 23 de marzo. La verificación se realiza con el apoyo de una empresa externa especializada en informática forense digital.
Aunque Checkmarx y varios medios vincularon la publicación con la dark web, BleepingComputer informa que LAPSUS$ también colocó un paquete de 96 GB en plataformas accesibles desde la Internet pública. La publicación no examinó el contenido del archivo.
Checkmarx afirma que la información de clientes no debería haber estado en la filtración, ya que ese tipo de datos no se almacenan en el repositorio de GitHub de la empresa. No obstante, la verificación aún no ha concluido. Si la investigación encuentra datos de clientes entre los materiales publicados, se prometió notificar a los afectados directamente.
El acceso al repositorio de GitHub afectado está bloqueado hasta la conclusión de la investigación. Checkmarx espera revelar detalles adicionales en breve.