Последние шесть недель выдались тяжёлыми для компании Чекмаркс (Checkmarx). За последние 40 дней она дважды стала жертвой атак в цепочке поставок, в результате которых её клиентам доставлялось вредоносное ПО. А теперь к этому добавилась ещё и атака с использованием вымогательского ПО от хакеров, известных своей любовью к публичности.

И цель, и канал распространения

Всё началось 19 марта с компрометации Trivy — популярного сканера уязвимостей. Злоумышленники получили доступ к аккаунту Trivy на GitHub и через него распространили вредоносный код среди пользователей. Среди них была и Чекмаркс. Установленное ПО сканировало заражённые машины в поиске токенов репозиториев, ключей SSH и других учётных данных.

Через четыре дня скомпрометировали уже сам аккаунт Чекмаркс в GitHub. Через него началась рассылка вредоносов её собственным пользователям. Компания заявила, что локализовала инцидент, устранила угрозу и заменила вредоносные файлы легитимными. По крайней мере, так считалась Чекмаркс.

Но 22 апреля из того же аккаунта пошла новая волна вредоносного ПО. Это означает, что либо предыдущую уязвимость устранили не до конца, либо произошла новая, пока не раскрытая атака. Компания вновь занялась вытеснением злоумышленников. По данным компании Сокет (Socket), в то же время в официальном репозитории Чекмаркс/kics на Docker Hub публиковались вредоносные пакеты.

В понедельник Чекмаркс сообщила о новом витке скандала: группа вымогателей, известная как Лапсус (Lapsu$), выложила на тёмном вебе пакет внутренних данных. Дата утечки — 30 марта. Судя по временной метке, хакеры сохранили доступ к аккаунту GitHub даже после того, как Чекмаркс заявила о его восстановлении 23 марта. Попытки вытеснить злоумышленников оказались неудачными.

It has been a bad six weeks for security firm Checmarx. Over the past 40 days, it has been the victim of at least one supply-chain attack that delivered malware to customers on two separate occasions. Now it has been hit by a ransomware attack from prolific fame-seeking hackers.

The streak of misfortunes started on March 19, with thesupply-chain attackof Trivy, a widely used vulnerability scanner. The attackers behind the breach first breached the Trivy GitHub account and then used their access to push malware to Trivy users, one of which was Checkmarx. The pushed malware scoured infected machines for repository tokens, SSH keys, and other credentials.

Both a target and delivery mechanism

Four days later, Checkmarx’s GitHub account was compromised and began pushing malware to the security firm’s users. The company contained and remediated the breach and replaced the malware with the legitimate apps. Or so Checkmarx thought.

On April 22, the company’s GitHub account pushed a new wave of malware, suggesting either that the previous breach hadn’t been fully fixed or that a new, unidentified hack had occurred. The company once again worked to boot the attackers out of the account. According to security firm Socket, the official Checkmarx/kics Docker Hub repo alsopublished malicious packagesaround the same time.

On Monday, Checkmarx disclosed there was another chapter to the saga. The companysaidthat a ransomware group tracked as Lapsu$ last week dumped a tranche of private data onto the dark web. The date stamp of the dumped material was March 30. Based on the date stamp, it appears that the attackers maintained their access to the GitHub account following Checkmarx’s March 23 discovery of the compromise, and attempts to drive them out failed.