Checkmarx подтвердила взлом и утечку данных после атаки на цепочку поставок

Компания Checkmarx, специализирующаяся на кибербезопасности, официально признала факт взлома и кражи информации из своего репозитория на GitHub. Инцидент, произошедший в марте 2026 года, стал следствием масштабной атаки на цепочку поставок. По предварительным оценкам, под угрозой могли оказаться данные более 170 тысяч человек.

Истоки инцидента: компрометация сканера Trivy

Согласно заявлению компании, утечка напрямую связана с атакой на Trivy — популярный инструмент с открытым исходным кодом для поиска уязвимостей. В ходе расследования выяснилось, что хакерская группировка TeamPCP внедрила вредоносное ПО для кражи данных (инфостилер) в программный код сканера. Это позволило злоумышленникам перехватывать секретные ключи пользователей, учетные данные облачных сервисов, SSH-ключи и конфигурационные файлы Kubernetes (системы управления контейнерами).

После первичного проникновения хакеры установили бэкдоры на устройствах пострадавших разработчиков для обеспечения постоянного доступа. Это позволило им атаковать другие среды и инструменты, включая LiteLLM, Telnyx и KICS, а также скомпрометировать два плагина для Open VSX и механизмы GitHub Actions.

Какие данные были похищены

В ходе атаки вредоносное ПО собирало широкий спектр конфиденциальной информации с зараженных систем. В обзоре инцидента отмечается, что затронутыми оказались не только корпоративные секреты, но и личные данные пользователей:

• Данные браузеров (Chrome, Opera, Brave, Yandex, Edge): файлы куки, история посещений, данные автозаполнения и сохраненные банковские карты.
• Токены Discord, позволяющие обходить авторизацию и получать доступ к аккаунтам.
• Сессии Telegram и данные криптовалютных кошельков.
• Личные файлы и учетные данные Instagram.

В настоящее время Checkmarx заблокировала доступ к пострадавшему репозиторию. В компании заявили, что уведомят всех затронутых лиц, как только будет точно установлен объем украденных персональных данных.

Заявления группировки Lapsus$

Ситуация получила развитие, когда хакерская группировка Lapsus$ добавила Checkmarx на свой сайт с утечками. Злоумышленники утверждают, что им удалось завладеть значительным объемом внутренней информации. По их словам, в распоряжении хакеров оказались:

• Исходный код программных продуктов компании.
• API-ключи для доступа к различным сервисам.
• Логины и пароли от баз данных MongoDB и MySQL.
• Персональные данные сотрудников организации.

На текущий момент представители Checkmarx не прокомментировали заявления Lapsus$ о краже исходного кода и учетных данных от баз данных. Расследование обстоятельств взлома продолжается.