La société de sécurité des applications Checkmarx a déclaré que le groupe de hackers LAPSUS$ avait diffusé des données volées provenant de son dépôt GitHub privé.
Bien que l’enquête soit en cours, Checkmarx soupçonne que l’accès a été facilité par l’attaque de la chaîne d’approvisionnement Trivy attribuée à l’équipe TeamPCP, donnant accès à des identifiants de connexions d’utilisateurs en aval.
En utilisant les identifiants volés lors de l’incident Trivy, les attaquants ont accédé aux dépôts GitHub de Checkmarx et ont publié un code malveillant le 23 mars.
“Suite à cet accès, les attaquants ont pu interagir avec l’environnement GitHub de Checkmarx et publier du code malveillant sur certains artefacts”, a expliqué l’entreprise.
Le 22 avril, profitant de leur accès renouvelé, les hackers ont publié des images Docker malveillantes, ainsi que des extensions VSCode et Open VSX pour le scanner de sécurité KICS de Checkmarx, ce qui a permis de voler des identifiants, clés, jetons et fichiers de configuration.
Dans une mise à jour récente, Checkmarx a confirmé que les données publiées par le groupe LAPSUS$ sur leur portail d’extorsion provenaient bien de la compromission du 23 mars.
“Notre enquête, réalisée avec le soutien d’une entreprise d’analyse judiciaire de premier plan, indique qu’un groupe de cybercriminels a publié des données liées à Checkmarx sur le dark web,” a ajouté l’entreprise.
“D’après les éléments actuels, nous pensons que ces données proviennent du dépôt GitHub de Checkmarx et que l’accès à ce dépôt a été facilité par l’attaque de la chaîne d’approvisionnement initiale du 23 mars 2026.”
Bien que Checkmarx et d’autres médias aient rapporté que ces données avaient été divulguées sur le dark web, BleepingComputer a révélé que le groupe LAPSUS$ avait également rendu accessibles les 96 Go de données via des portails en clair.
Source: BleepingComputer
BleepingComputer n’a pas examiné le contenu des données divulguées, mais Checkmarx a assuré qu’elles ne contenaient pas d’informations clients, car celles-ci ne sont pas stockées dans le dépôt GitHub de l’entreprise.
Une enquête judiciaire est en cours pour déterminer le type exact de données exposées.
La société a indiqué que, si des informations clients sont trouvées dans les données volées, les individus concernés seront immédiatement informés.
L’accès au dépôt GitHub concerné a été bloqué jusqu’à la fin de l’enquête. Checkmarx prévoit de partager plus de détails dans les prochaines 24 heures.