Checkmarx ha revelado que su investigación en curso relacionada con el incidente de seguridad de la cadena de suministro ha revelado que un grupo cibercriminal publicó datos relacionados con la empresa en la web oscura.
«Basándonos en la evidencia actual, creemos que estos datos se originaron en el repositorio GitHub de Checkmarx, y que el acceso a ese repositorio se facilitó mediante el ataque inicial a la cadena de suministro del 23 de marzo de 2026», dijo la compañía de seguridad israelí.
También enfatizó que el repositorio de GitHub se mantiene separado del entorno de producción del cliente, y agregó que no se almacenan datos del cliente en el repositorio. Checkmarx dijo que su investigación forense sobre el incidente está en curso y que está trabajando activamente para verificar la naturaleza y el alcance de los datos publicados.
Además, la compañía dijo que bloqueó el acceso al repositorio de GitHub afectado como parte de sus esfuerzos de respuesta a incidentes.
«Si determinamos que la información del cliente estuvo involucrada en este incidente, notificaremos a los clientes y a todas las partes relevantes de inmediato», dijo.
El desarrollo se produce después de que Dark Web Informer compartiera en una publicación X que el grupo de cibercrimen LAPSUS$ reclamó tres víctimas en su sitio de fuga de datos, una de las cuales incluye Checkmarx. Los datos, según el listado, contienen código fuente, base de datos de empleados, claves API y credenciales de MongoDB/MySQL.
Checkmarx sufrió una infracción a finales del mes pasado tras el ataque a la cadena de suministro de Trivy, como resultado del cual dos de sus flujos de trabajo de GitHub Actions y dos complementos distribuidos a través del mercado Open VSX fueron manipulados para impulsar a un ladrón de credenciales capaz de recolectar una amplia gama de secretos de desarrolladores. El actor de amenazas conocido como TeamPCP se atribuyó la responsabilidad del ataque.
La semana pasada, se sospecha que el grupo con motivación financiera comprometió la imagen KICS Docker de Checkmarx, junto con las dos extensiones de VS Code y un flujo de trabajo de GitHub Actions con un malware de robo de credenciales similar. Esto, a su vez, tuvo un impacto en cascada, lo que llevó a un breve compromiso del paquete npm de la CLI de Bitwarden.