“La evidencia actual indica que estos datos se originaron en el repositorio GitHub de Checkmarx, y el acceso al repositorio se facilitó mediante un ataque inicial a la cadena de suministro el 23 de marzo de 2023”, dijo Checkmarx el lunes. La empresa no dijo qué tipo de datos se filtraron.
Checkmarx no es la única empresa de seguridad que sufre la infracción de Trivy. Toma de corriente dicho que otra empresa de seguridad, Bitwarden, también se vio afectada por el mismo ataque a la cadena de suministro. Socket atribuyó la violación de Bitwarden a la campaña Trivy porque la carga útil utilizó el mismo punto final C2 y la misma infraestructura central que el malware Checkmarx.
bitwarden dicho que el paquete malicioso se “distribuyó brevemente a través de la ruta de entrega npm @bitwarden/cli@2026.4.0 entre las 5:57 p.m. y las 7:30 p.m. (ET) el 22 de abril de 2026”.
El ataque de Trivy fue llevado a cabo por un grupo que se hace llamar TeamPCP. Este grupo representa una de las operaciones de intermediarios de acceso más exitosas, una clase de piratas informáticos que destruye y extrae credenciales de las víctimas y luego las vende a otros piratas informáticos. La clave de su impacto es apuntar a herramientas que ya tienen acceso privilegiado.
En el caso de Checkmarx, parece que TeamPCP vendió credenciales de acceso a Lapsu$, un grupo de ransomware formado principalmente por adolescentes conocido tanto por su habilidad para violar grandes empresas como por sus burlas y arrogancia cuando tiene éxito.
Estos incidentes demuestran el impacto en cascada que puede tener una sola infracción. Con Checkmarx y Bitwarden afectados, es probable que haya nuevos ataques contra sus clientes o socios y más compromisos posteriores que podrían resultar de estos ataques. El director ejecutivo de Socket, Feross Aboukhadijeh, dijo en un correo electrónico que las organizaciones de seguridad están siendo atacadas específicamente debido a la proximidad de sus productos a datos confidenciales y su amplia distribución en Internet.
“Verán el mismo hilo en todos estos compromisos”, dijo Aboukhadijeh. “Los atacantes tratan las herramientas de seguridad como objetivos y mecanismos de entrega. Atacan productos que se supone deben proteger la cadena de suministro, luego usan esos mismos productos para robar credenciales y pasar a la siguiente víctima”.
