過去六周對安全公司Checkmarx來說可謂流年不利。在短短40天內,該公司至少兩次成為供應鏈攻擊的受害者,惡意軟體被植入其客戶系統,近日又遭到一個熱衷於博取聲名的黑客組織發動的勒索軟體攻擊。
這一連串的不幸始於3月19日。彼時,被廣泛使用的漏洞掃描工具Trivy遭遇供應鏈攻擊。攻擊者首先入侵了Trivy的GitHub賬戶,隨後藉此向Trivy用戶推送惡意軟體,Checkmarx便是受害者之一。這批惡意軟體會在被感染的機器上搜尋代碼倉庫令牌、SSH密鑰及其他憑證資訊。
四天後,Checkmarx自己的GitHub賬戶也遭到入侵,攻擊者開始向該公司的用戶推送惡意軟體。Checkmarx隨即對此次入侵進行了處置和修復,並將惡意軟體替換為正版應用程序。然而事情並未就此終結。
4月22日,該公司的GitHub賬戶再度推送了一波新的惡意軟體,這意味著此前的修復工作可能並不徹底,或者黑客已通過新的、尚未被發現的途徑再次得手。Checkmarx隨即再次著手將攻擊者逐出賬戶。據安全公司Socket透露,Checkmarx官方的Docker Hub鏡像倉庫也在同一時期發布了惡意軟體包。
本周一,Checkmarx披露了這一事件的最新進展。公司表示,一個被追蹤為Lapsu$的勒索軟體組織上周將一批私有數據公開轉儲至暗網,數據的時間戳顯示為3月30日。根據這一時間戳推斷,攻擊者在Checkmarx於3月23日發現入侵事件並試圖驅逐他們之後,仍持續保留著對該GitHub賬戶的訪問權限,清除工作未能奏效。
"現有證據表明,此次泄露的數據來源於Checkmarx的GitHub代碼倉庫,而攻擊者獲取這些倉庫的訪問權限,正是通過2023年3月23日那次最初的供應鏈攻擊實現的。"Checkmarx在周一聲明中如此表示,但未透露泄露數據的具體類型。
Checkmarx並非此次Trivy入侵事件的唯一受害安全公司。Socket表示,另一家安全公司Bitwarden同樣在這場供應鏈攻擊中遭殃。Socket將Bitwarden的入侵事件與Trivy攻擊活動關聯起來,依據是兩者所使用的惡意載荷共享相同的C2控制端點和核心基礎設施。
Bitwarden證實,一個惡意軟體包"於2026年4月22日美東時間下午5時57分至7時30分之間,通過@bitwarden/[email protected]的npm分發渠道短暫對外傳播"。
此次Trivy攻擊事件的幕後黑手是一個自稱TeamPCP的組織。該組織是目前最為活躍的訪問憑證中間商之一。這類黑客慣於從受害者處竊取憑證,再將其轉賣給其他攻擊者。TeamPCP之所以能夠崛起,關鍵在於其專門針對那些本身就擁有高權限訪問能力的工具下手。
就Checkmarx一事而言,TeamPCP似乎將竊取的訪問憑證轉售給了勒索軟體組織Lapsu$。Lapsu$主要由一群青少年組成,該組織以成功入侵大型企業著稱,同時也以得手後的嘲弄和炫耀行為而聞名。
這一系列事件深刻揭示了單次安全漏洞所能引發的連鎖效應。由於Checkmarx和Bitwarden均受到波及,其客戶或合作夥伴極有可能成為下一輪攻擊的目標,由此引發更大範圍的下游安全風險。Socket首席執行官Feross Aboukhadijeh在一封電子郵件中指出,安全機構因其產品與敏感數據高度關聯、且在網際網路上分布廣泛,已成為攻擊者的重點覬覦對象。
"在所有這些入侵事件中,你會發現同一條主線,"Aboukhadijeh說,"攻擊者正在將安全工具既視為攻擊目標,又視為傳播載體。他們攻擊的正是那些本應守護供應鏈安全的產品,然後利用這些產品來竊取憑證,並向下一個受害者滲透。"
Q&A
Q1:Trivy供應鏈攻擊是怎麼發生的?
A:攻擊者首先入侵了漏洞掃描工具Trivy的GitHub賬戶,然後通過該賬戶向Trivy用戶推送惡意軟體。惡意軟體會在被感染機器上搜尋代碼倉庫令牌、SSH密鑰及其他訪問憑證。Checkmarx和Bitwarden均通過這一路徑遭到波及,兩者受到的攻擊使用了相同的C2控制端點和核心基礎設施。
Q2:Lapsu$是什麼組織?和Checkmarx數據泄露有什麼關係?
A:Lapsu$是一個勒索軟體組織,成員多為青少年,以成功入侵大型企業和事後炫耀聞名。在Checkmarx事件中,供應鏈攻擊組織TeamPCP將竊得的GitHub訪問憑證轉售給Lapsu$,後者隨後將Checkmarx的私有數據公開轉儲至暗網。泄露數據的時間戳為3月30日,說明攻擊者在被發現後仍長期潛伏於系統中。
Q3:為什麼安全公司更容易成為供應鏈攻擊的目標?
A:安全公司的產品天然與敏感數據高度關聯,且被大量企業客戶廣泛部署在網際網路上,一旦被攻陷,可順勢波及其所有下游用戶。攻擊者將安全工具同時視為攻擊目標和傳播載體,通過攻擊本應守護供應鏈的產品,竊取憑證後再向更多受害者擴散。
