軟體安全測試公司Checkmarx成為最新一家捲入針對安全工具提供商持續攻擊的組織。此前,勒索組織Lapsus$聲稱竊取了該公司的源代碼、機密及其他敏感數據,隨後網上發布的數據似乎證實來自Checkmarx的一個GitHub儲存庫。在近期的更新中,Checkmarx表示調查仍在進行中,正努力核實數據的性質和範圍。不過現有證據表明,這些數據確實源自其GitHub儲存庫,且黑客是通過3月23日發生的一起初始供應鏈攻擊獲取了訪問權限。目前,該公司已鎖定受影響儲存庫的訪問權限,並表示如果調查確定有客戶資訊被發布到網上,將立即通知所有相關方。早在一天前,數據竊賊Lapsus$就將Checkmarx列入了其泄露網站的受害者名單。根據暗網資訊員分享的帖子,勒索者聲稱已經傾印了大量敏感資訊,包括源代碼、API密鑰、MongoDB和MySQL登錄憑證以及員工詳細資訊。Checkmarx尚未對被盜數據和Lapsus$的說法作出正式回應,但承諾會提供更詳細的更新,因為這場供應鏈混亂正在安全和開發者工具領域引發連鎖反應。Checkmarx在公告中提到的初始攻擊發生在3月23日,當時一個名為TeamPCP的新型網路犯罪團伙使用了從Trivy竊取的CI/CD機密資訊。Trivy是由Aqua Security維護的開源漏洞掃描器,該團伙在2月底首次入侵了它。3月16日,TeamPCP將竊取憑據的惡意軟體注入掃描器,搜颳了大量開發者的機密、雲憑據、SSH密鑰和Kubernetes配置文件,隨後在開發者的機器上植入了持久的後門。這次入侵也為攻擊者提供了進入其他幾個開源工具的初始訪問途徑,包括LiteLLM、Telnyx以及由Checkmarx維護的開源靜態分析工具KICS。3月23日,TeamPCP將相同的竊密軟體注入KICS,並將被感染的鏡像推送到Checkmarx維護的官方Docker Hub儲存庫中。Socket的研究團隊在分析中指出,捆綁的KICS二進制文件被修改,加入了合法版本中不存在的數據收集和外傳功能。研究發現,該惡意軟體能夠生成未經審查的掃描報告,將其加密並發送到外部端點。對於使用KICS掃描可能包含憑據或敏感配置數據的基礎設施即代碼文件的團隊來說,這帶來了極大的風險。情況隨後變得更糟。除了被植入木馬的KICS鏡像外,不法分子還入侵了其他Checkmarx開發者工具,包括Checkmarx GitHub Actions和兩個Open VSX插件。Checkmarx在最初的安全公告中證實,公司遭遇了網路安全供應鏈事件,影響了通過Open VSX市場分發的兩個特定插件以及兩個GitHub Actions工作流。攻擊者正在蓄意瞄準開發者最信任的工具:安全掃描器、密碼管理器以及其他直接接入開發者環境的高權限軟體。Socket研究人員透露,開源密碼管理器Bitwarden的CLI也在Checkmarx入侵事件中遭到破壞。這極大地擴大了攻擊的潛在破壞範圍,因為Bitwarden號稱是全球第二大企業密碼管理器,擁有千萬級用戶和龐大的企業客戶群。Socket首席執行官Feross Aboukhadijeh表示,當黑客攻破這樣的工具時,他們不僅僅是在攻擊一個供應商,而是可能獲取GitHub Token、雲憑據、CI機密資訊以及這些工具所接觸的下游環境的訪問權限。此外,攻擊者在此次持續的行動中專門針對安全工具和供應商。幕後的威脅行為者對當前安全工具和供應商的現狀抱有極深的敵意,他們明確將開源安全生態系統和開發者基礎設施作為目標。在初步入侵Trivy、LiteLLM、KICS等開源安全工具後,TeamPCP與包括Vect和Lapsus$在內的勒索組織結盟,並在黑客論壇上吹噓將策劃更大規模的供應鏈行動,將這些入侵轉化為毀滅性的後續勒索軟體攻擊。今年4月初,AI初創公司Mercor證實,由於Lapsus$將包含Mercor源代碼在內的數據公開拍賣,他們成為了受LiteLLM供應鏈攻擊影響的數千家公司之一。專家指出,黑客不再僅僅是繞過安全工具,而是直接對其發起攻擊。他們知道這些產品根植極深、備受信賴且通常擁有極高權限,這使其成為數據竊取和下游傳播的絕佳突破口。Q&AQ1:Checkmarx遭遇了什麼網路攻擊?A:Checkmarx遭到了一起供應鏈攻擊,黑客通過入侵其開源工具獲取了GitHub儲存庫的訪問權限,導致源代碼、API密鑰、資料庫憑證等敏感數據可能被勒索組織Lapsus$竊取並泄露。Q2:黑客是如何入侵Checkmarx及其他開發者工具的?A:網路犯罪團伙TeamPCP首先入侵了開源漏洞掃描器Trivy並竊取了大量憑據,隨後利用這些權限入侵了Checkmarx的KICS、LiteLLM和Bitwarden等其他重要工具,並向其中注入了用於竊取數據的惡意軟體。Q3:為什麼黑客要專門針對安全掃描器和密碼管理器等工具?A:因為這些安全工具深度嵌入在開發者的工作環境中,備受信任且通常擁有極高的系統權限。攻破它們不僅能竊取供應商的數據,還能順藤摸瓜獲取大量雲憑據、Token以及下游企業環境的控制權。
