Checkmarx供应链安全事件:Trivy攻击致GitHub遭入侵,数据泄露
Checkmarx于2026年3月23日遭遇供应链攻击,攻击者利用Trivy扫描器漏洞(TeamPCP)窃取凭证并入侵其GitHub仓库,发布恶意制品并窃取数据。LAPSUS$于4月25日公开数据。Checkmarx确认客户生产环境未受影响,但建议立即轮换凭证并加强GitHub访问控制。
⛓️ Critical 供应链攻击
2026年3月23日,Checkmarx因Trivy供应链攻击(TeamPCP)导致攻击者窃取凭证并入侵其GitHub仓库。攻击者发布恶意制品,并于3月30日窃取数据,该数据于4月25日由LAPSUS$组织在暗网公开。Checkmarx确认客户生产环境未受影响,但开发环境凭证与访问控制需全面加固。
来源:Checkmarx | 2026-04-26 | 原文链接
🔍 关键发现
- 攻击者利用Trivy扫描器供应链攻击(TeamPCP)窃取凭证,获得Checkmarx GitHub仓库的未授权访问。
- 攻击者分两波(3月23日、4月22日)向Checkmarx GitHub仓库推送恶意代码,发布被篡改的制品。
- 数据于3月30日被外泄,并于4月25日由LAPSUS$组织在暗网公布,但客户生产环境数据未存储于GitHub,因此未受影响。
⚔️ 攻击链分析
1. 攻击者通过Trivy供应链攻击(TeamPCP)窃取下游用户凭证;2. 利用凭证获得Checkmarx GitHub仓库访问权限;3. 向仓库推送恶意代码并发布被篡改的制品;4. 窃取GitHub仓库数据并于暗网公开。
🚩 失陷指标 (IOC)
Checkmarx GitHub仓库中被篡改的恶意制品(具体哈希待官方公布)LAPSUS$组织在暗网发布的数据集(时间戳:2026-03-30)
🛡️ 缓解建议
- ✅ 立即轮换所有可能暴露的凭证,包括GitHub令牌、API密钥及CI/CD集成凭据。
- ✅ 启用GitHub仓库的严格访问控制,如分支保护规则、最小权限原则及多因素认证。
- ✅ 审查并隔离开发环境与生产环境,确保GitHub仓库不存储客户敏感数据。
- ✅ 部署恶意制品检测机制,对第三方依赖和构建产物进行完整性校验与行为分析。
涉及漏洞:[]
⚠️ 本文仅供安全研究与学习,IOC 信息请勿用于非法目的。
🤖 常见问题解答(FAQ)
❓ 攻击者如何通过Trivy获取Checkmarx凭证?
攻击者利用Trivy扫描器供应链攻击(TeamPCP),在Trivy更新或依赖中植入恶意代码,窃取运行Trivy的CI/CD环境中的凭证,包括GitHub令牌。
❓ Checkmarx客户是否受到此次事件影响?
官方声明客户生产环境与GitHub仓库隔离,且未在GitHub存储客户数据,因此客户数据未直接泄露,但建议客户轮换与Checkmarx相关的集成凭证。
❓ LAPSUS$组织在本次攻击中扮演什么角色?
LAPSUS$于4月25日公开了从Checkmarx GitHub仓库窃取的数据,但攻击者并非LAPSUS$本身,而是利用Trivy漏洞的未知攻击者,LAPSUS$仅在数据泄露后公开数据。