Разработчик решений для анализа безопасности кода Checkmarx опубликовал подробности инцидента, который начался ещё в марте 2026 года и продолжает развиваться. Злоумышленники, получив доступ к репозиториям компании на GitHub через атаку на цепочку поставок сканера Trivy, опубликовали вредоносные версии нескольких инструментов. В результате под ударом оказались пользователи плагинов для Jenkins, расширений для VS Code, образов Docker и готовых сценариев GitHub Actions. Группа LAPSUS$ в конце апреля выложила в открытый доступ данные, предположительно украденные из репозиториев Checkmarx.
Описание
Инцидент начался 23 марта, когда компания обнаружила, что в реестре OpenVSX появились вредоносные версии двух плагинов: ast-results и cx-dev-assist. Почти одновременно были скомпрометированы два набора сценариев GitHub Actions для продуктов KICS и AST. Как выяснилось позже, стартовой точкой послужила уязвимость в цепочке поставок самого сканера Trivy - инструмента для поиска уязвимостей в контейнерах. Злоумышленники из группировки TeamPCP использовали подмену пакетов, чтобы добраться до учётных данных разработчиков Checkmarx. Официальное уведомление компании подтверждает: именно через скомпрометированные учётные данные был получен доступ к репозиториям GitHub.
После первого обнаружения команда Checkmarx немедленно удалила вредоносный код, отозвала скомпрометированные учётные данные и заблокировала исходящий трафик на управляемый атакующими домен checkmarx.zone. Однако 22 апреля последовала вторая волна: злоумышленники снова опубликовали вредоносные версии - теперь уже в магазине расширений VS Code Marketplace и на DockerHub. Вредоносные образы KICS на DockerHub, а также расширения для VS Code и сценарии GitHub Actions были заменены на подставные. В этот раз в поле зрения попал и плагин Jenkins AST Scanner для магазина плагинов Jenkins. Вредоносная версия плагина была доступна 9-10 мая 2026 года.
Checkmarx немедленно привлёк внешних экспертов по цифровой криминалистике, включая компанию Mandiant. Следствие показало, что 30 марта 2026 года атакующие выгрузили данные из репозиториев GitHub. 25 апреля группа LAPSUS$ опубликовала эти данные в даркнете. Компания подчеркивает, что репозитории GitHub не содержат данных клиентов - они отделены от производственной среды. Однако доступ к репозиториям мог позволить злоумышленникам изучать внутреннюю документацию, исходный код и учётные данные для сборки.
Технический анализ вредоносных артефактов показал, что основной целью была кража учётных данных и секретов из сред, где выполнялись скомпрометированные инструменты. Вредоносный код включал функциональность для сбора переменных окружения, токенов доступа к облачным сервисам (AWS, Azure, GCP), SSH-ключей и учётных данных для реестров контейнеров. Заражённые версии плагинов и расширений могли отправлять собранные данные на управляемые атакующими серверы по адресам checkmarx.cx и audit.checkmarx.cx.
По состоянию на начало мая Checkmarx заявляет, что находится на финальной стадии расследования. Доступ к скомпрометированным репозиториям заблокирован, все учётные данные повторно ротированы, а безопасность конвейеров разработки усилена. Компания рекомендует всем пользователям проверить версии установленных инструментов. Для плагина Jenkins AST Scanner безопасной считается только версия 2.0.13-829.vc72453fa_1c16 от декабря 2025 года или более ранние. Вредоносная версия 2026.5.09 должна быть немедленно удалена. Пользователям расширений для VS Code следует обновиться до версии 2.67.0 (ast-results) и 1.18.0 или 1.20.0 (Developer Assist). Для сценариев GitHub Actions рекомендованы версии v2.3.36 (ast-github-action) и свежие безопасные теги образов Docker.
Инцидент с Checkmarx - очередной пример того, как атака на цепочку поставок одного инструмента может привести к компрометации всей экосистемы разработчика. Злоумышленники не взламывали инфраструктуру Checkmarx напрямую, а использовали уязвимость в другом проекте для кражи учётных данных, которые открыли двери в репозитории. После этого они смогли публиковать вредоносные артефакты от имени Checkmarx, подвергая риску тысячи команд разработчиков по всему миру.
Компания продолжает информировать клиентов через портал поддержки и страницу обновлений. Специалистам по безопасности рекомендуется немедленно проверить логи на наличие подозрительных соединений с указанными доменами и IP-адресами, а также отключить автоматическое обновление расширений в средах разработки до полного завершения расследования.
Индикаторы компрометации
IPv4
- 91.195.240.123
- 94.154.172.43
Domains
- audit.checkmarx.cx
- checkmarx.cx
SHA256
- 01ff1e56fd59a8fa525d97e670f7f297a1a204331b89b2cd4e36a9abc6419203
- 3ddb8967919a801b3c383e58cddceab21138134c6a26560d99e2672e86f36f2a
- f50a96d26a5b0beb29de4127e82b2bf350c21511e5a43d286e43f798dc6cd53f
