Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Register · 28.4., 12:14 · sikkerhet

Lapsus$ dumper Checkmarx-kode etter Trivy-kompromittering rant videre til KICS, Bitwarden CLI og LiteLLM

SYNOPSIS_GENERERT

Checkmarx bekreftet 27. april at sensitive data Lapsus$ la ut antagelig stammer fra et GitHub-repo, og knytter eksponeringen til den koordinerte Trivy-kompromitteringen 23. mars 2026. Bitwarden CLI med 10 millioner brukere ble dratt med i samme kjede, og angriperne har eksplisitt sagt at sikkerhetsverktøy er målet.

The Register meldte 28. april at Checkmarx er det nyeste offeret i en pågående leverandørkjedekampanje som «eksplisitt retter seg mot sikkerhets- og utviklerverktøy». I en søndagsoppdatering bekreftet Checkmarx at data publisert online sannsynligvis stammer fra ett av selskapets GitHub-repositorier, og at tilgangen ble fasilitert gjennom den initielle leverandørkjedekompromitteringen 23. mars 2026.

Lapsus$ la Checkmarx på lekkasjelisten samme uke og hevder å ha dumpet kildekode, API-nøkler, MongoDB- og MySQL-credentials samt ansattdata. Dette er en bredere kjede enn den ser ut: TeamPCP kompromitterte først Trivy (Aquas open source-vulnerability-scanner) i slutten av februar, injiserte credential-stjelende malware 16. mars, og brukte deretter de stjålne CI/CD-hemmelighetene til å hoppe videre til LiteLLM, Telnyx, KICS, to Open VSX-plugins og Bitwardens CLI.

«Angriperne går målrettet etter verktøyene utviklere blir bedt om å stole mest på. Sikkerhetsskannere, passordmanagere og annen høyt privilegert programvare som er koblet rett inn i utviklingsmiljøet. Det er derfor nedslaget kan bli stort fort.» — Feross Aboukhadijeh, CEO i Socket

Mercor, oppstartselskapet for KI-trening, bekreftet i begynnelsen av april at de var «ett av tusenvis» av selskaper rammet av LiteLLM-kompromitteringen, etter at Lapsus$ tilbød 4 TB data inkludert 939 GB av Mercors kildekode for salg på BreachForums. Bitwarden CLI er den potensielt største blast-radien så langt: 10 millioner brukere og over 50 000 bedrifter bruker tjenesten, som er nummer to blant enterprise-passordmanagere.

Det praktiske problemet for norske utviklere er at terskelen for å sjekke status på alle verktøyene i pipelinen din er høyere enn noen gang. Det er ikke nok å sjekke om versjonen din er listet i én CVE. Du må anta at hver credential som har eksistert i CI-en din siden februar kan være kompromittert hvis du har kjørt en av de berørte versjonene av Trivy, KICS, LiteLLM, Bitwarden CLI, Telnyx eller de to Open VSX-pluginene fra Checkmarx.

Hva bør du gjøre?

  1. Roter alle CI/CD-secrets. GitHub-tokens, cloud-credentials, npm publish-tokens, Docker Hub-passord, signeringsnøkler. Anta lekkasje hvis du har kjørt en berørt versjon av disse verktøyene siden 16. mars 2026.
  2. Sjekk Bitwarden CLI-versjonen din. Hvis CLI-en har vært installert via Checkmarx-pluginene eller via en kompromittert KICS-pipeline, behandle vault-en som potensielt eksponert og start passordrotasjon for høyverdi-kontoer først.
  3. Pin betrodde versjoner av sikkerhetsverktøy. Slutt å trekke :latest-tagger fra Docker Hub eller npm install uten lockfile på security-tooling. Verifiser SHA-summer mot leverandørens GPG-signerte release-notes før du rebuilder pipelines.

Bakgrunn

Kampanjen ble innledet i februar 2026 da TeamPCP (en relativt ny grupperting) kompromitterte Trivy. Etterpå har de partneret med ransomware- og ekstortion-grupper som Vect og Lapsus$, og skrev på BreachForums at de planlegger «enda større leverandørkjedeoperasjoner» med «ødeleggende ransomware-followup». Socket og Aqua Security har dokumentert teknisk i flere oppfølgende rapporter, sist en analyse som viste at den modifiserte KICS-binærfilen genererte ukrypterte scan-rapporter med credentials og sendte dem til en ekstern endepunkt.

Åpne eksternt kildedokument
sikkerhetutviklingopen-source

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN