Checkmarx供应链攻击升级:GitHub仓库数据泄露至暗网
Checkmarx确认其GitHub仓库数据在3月23日供应链攻击后被泄露至暗网,涉及源代码、员工数据库和API密钥。攻击者TeamPCP通过篡改GitHub Actions和VS Code扩展植入凭证窃取器,并影响KICS Docker镜像及Bitwarden CLI包。了解攻击链、缓解措施和IOCs,保护您的DevOps供应链安全。
⛓️ Critical 供应链攻击
安全公司Checkmarx确认,其在3月23日遭受的供应链攻击导致GitHub仓库数据被泄露至暗网,涉及源代码、员工数据库和API密钥。攻击者TeamPCP通过篡改GitHub Actions工作流和VS Code扩展植入凭证窃取器,并进一步影响了KICS Docker镜像和Bitwarden CLI包。
来源:The Hacker News | 2026-04-28 | 原文链接
🔍 关键发现
- Checkmarx确认其GitHub仓库数据被发布到暗网,包括源代码、员工数据库、API密钥和MongoDB/MySQL凭据。
- 攻击源于3月23日的Trivy供应链攻击,攻击者TeamPCP篡改了GitHub Actions工作流和Open VSX插件,植入凭证窃取器。
- 攻击链产生连锁效应,导致KICS Docker镜像和Bitwarden CLI npm包被短暂入侵。
⚔️ 攻击链分析
1. 初始入侵:通过Trivy供应链攻击获得对Checkmarx GitHub仓库的初始访问权限;2. 横向移动:篡改GitHub Actions工作流和VS Code扩展,植入凭证窃取器;3. 扩散影响:攻击KICS Docker镜像,并间接导致Bitwarden CLI npm包被恶意修改;4. 数据泄露:将窃取的仓库数据(源码、凭据等)发布到暗网。
🚩 失陷指标 (IOC)
恶意KICS Docker镜像(特定哈希待公开)被篡改的VS Code扩展(Open VSX市场中的恶意版本)
🛡️ 缓解建议
- ✅ 立即审计并锁定所有GitHub仓库的访问权限,特别是与CI/CD工作流相关的仓库。
- ✅ 检查Open VSX和npm等市场中的插件/包版本,确保未被篡改;启用代码签名验证。
- ✅ 监控暗网和泄露站点,及时检测凭证泄露并轮换所有受影响密钥和凭据。
涉及漏洞:["CVE-2026-32202"]
⚠️ 本文仅供安全研究与学习,IOC 信息请勿用于非法目的。
🤖 常见问题解答(FAQ)
❓ 攻击者如何获取GitHub仓库访问权限?
攻击者通过Trivy供应链攻击初始入侵,利用被篡改的GitHub Actions工作流和VS Code扩展,窃取了开发者的凭证和API密钥,从而获得仓库访问权。
❓ 泄露数据中是否包含客户信息?
Checkmarx强调GitHub仓库与客户生产环境隔离,未存储客户数据。但泄露的API密钥和数据库凭据可能被用于进一步攻击客户环境。
❓ 如何检测是否受此攻击影响?
检查使用的Checkmarx相关工具(如KICS Docker镜像、VS Code扩展)是否来自官方渠道;审计GitHub Actions日志是否有异常提交;轮换所有可能泄露的API密钥和凭据。