#checkmarx — Public Fediverse posts

Official #CheckMarx #Jenkins package compromised with #infostealer

https://www.bleepingcomputer.com/news/security/official-checkmarx-jenkins-package-compromised-with-infostealer/

#malware #cybersecurity

Twórcy zabezpieczeń sami padli ofiarą hakerów. Jak atak na Trivy wywołał efekt domina

Kiedy firmy odpowiedzialne za ochronę naszych danych same stają się celem skutecznego ataku, w całej branży zapala się czerwona lampka.

Groźny atak na łańcuch dostaw skompromitował popularne narzędzia dla programistów, uderzając rykoszetem w gigantów cyberbezpieczeństwa – firmy Checkmarx oraz Bitwarden. To dobitny dowód na to, że przestępcy znaleźli nowy, niezwykle skuteczny wektor ataku: infekowanie samych strażników.

Atak na łańcuch dostaw. Złośliwa aktualizacja Bitwarden CLI zagrażała deweloperom

Efekt domina. Jak złośliwy kod zainfekował gigantów

Wszystko zaczęło się w połowie marca od przejęcia konta na GitHubie należącego do Trivy – szeroko wykorzystywanego skanera podatności w kodzie. Hakerzy z grupy TeamPCP wykorzystali ten dostęp, by przemycić złośliwe oprogramowanie bezpośrednio do aktualizacji pobieranych przez użytkowników narzędzia. Malware błyskawicznie zaczął przeczesywać zainfekowane maszyny w poszukiwaniu tokenów dostępu, kluczy SSH i poufnych danych uwierzytelniających.

W ten sposób przestępcy bezszelestnie włamali się do systemów firm Checkmarx oraz Bitwarden (o ataku na ten popularny menedżer haseł pisaliśmy już wcześniej). Zamiast atakować korporacje frontalnie, hakerzy weszli głównymi drzwiami, wykorzystując zaufane oprogramowanie firm trzecich.

Podwójny koszmar Checkmarx. Od kradzieży danych po szantaż

Dla firmy Checkmarx był to zaledwie początek trwającego ponad miesiąc kryzysu. Krótko po pierwszej infekcji, napastnicy przejęli oficjalne konto firmy na GitHubie i zaczęli rozsyłać złośliwy kod dalej – prosto do jej klientów. Choć Checkmarx poinformowało o szybkim załataniu luki, 22 kwietnia sytuacja się powtórzyła, co sugeruje, że intruzi nigdy nie utracili dostępu do infrastruktury.

Jakby tego było mało, do gry wkroczyła niesławna grupa ransomware Lapsu$, która pod koniec kwietnia opublikowała w dark webie prywatne pliki wykradzione z serwerów Checkmarx. Wskazuje to na brutalną rynkową praktykę: grupa TeamPCP najpewniej sprzedała dostęp do przejętej sieci młodym hakerom z Lapsu$, a firma przez tygodnie nie potrafiła zidentyfikować pełnej skali włamania.

Dlaczego hakerzy polują na narzędzia bezpieczeństwa?

Ten incydent obnaża nową strategię cyberprzestępców. Oprogramowanie zabezpieczające jest dziś traktowane przez hakerów jednocześnie jako główny cel i idealny mechanizm dystrybucji wirusów.

Tego typu programy mają z założenia głęboki, uprzywilejowany dostęp do najbardziej wrażliwych danych w systemach korporacyjnych. Atakując zaufane narzędzia, hakerzy jednym celnym ciosem otwierają sobie drzwi do tysięcy kolejnych ofiar w dół łańcucha dostaw. To efekt kaskadowy, który pokazuje, że w dzisiejszym świecie IT nikt nie jest w pełni bezpieczny – nawet ci, którzy ten świat chronią.

Why a recent supply-chain attack singled out security firms #Checkmarx and #Bitwarden

https://arstechnica.com/information-technology/2026/04/why-a-recent-supply-chain-attack-singled-out-security-firms-checkmarx-and-bitwarden/

#cybersecurity

#Checkmarx confirms #LAPSUS$ hackers leaked its stolen #GitHub data

https://www.bleepingcomputer.com/news/security/checkmarx-confirms-lapsus-hackers-leaked-its-stolen-github-data/

#cybersecurity #DataBreach #TeamPCP #Trivy

Bitwarden CLI was compromised via the Checkmarx supply‑chain campaign—attackers injected malicious code into @bitwarden/cli v2026.4.0 through a poisoned CI/CD GitHub Action. Users should avoid v2026.4.0, rotate keys, and audit CI/CD. Details: https://cyberinsider.com/bitwarden-cli-backdoored-in-checkmarx-supply-chain-attack/ 🚨🔒⚠️ #SupplyChainAttack #InfoSec #Bitwarden #Checkmarx

Huh! Lapsus claimed Checkmarx as their victim. Allegedly they have stolen source code, employee db, databases.

The leak is an archived file of 95 GBs. Haven't seen what's inside yet

#Lapsus #Checkmarx

New #Checkmarx supply-chain breach affects #KICS analysis tool

https://www.bleepingcomputer.com/news/security/new-checkmarx-supply-chain-breach-affects-kics-analysis-tool/

#cybersecurity #FOSS

Atak na łańcuch dostaw. Złośliwa aktualizacja Bitwarden CLI zagrażała deweloperom

Menedżery haseł to fundament cyfrowego bezpieczeństwa, dlatego każda informacja o incydentach w ich infrastrukturze budzi natychmiastowy niepokój.

Badacze z firm Socket oraz JFrog Security odkryli złośliwą aktualizację interfejsu wiersza poleceń (CLI) dla popularnego Bitwardena. Choć sytuacja wyglądała groźnie, atak miał charakter wysoce ukierunkowany i – co najważniejsze – prywatne sejfy z hasłami użytkowników pozostały całkowicie bezpieczne.

Incydent miał miejsce 22 kwietnia 2026 roku. W ramach szerzej zakrojonej kampanii wymierzonej w łańcuchy dostaw (tzw. supply chain attack), w repozytorium npm pojawiła się zmodyfikowana, złośliwa wersja pakietu Bitwarden CLI, oznaczona numerem 2026.4.0. Z oficjalnego komunikatu firmy wynika, że paczka była dostępna do pobrania przez niezwykle krótkie okno czasowe – około 1,5 godziny.

Hakerzy (najprawdopodobniej grupa TeamPCP) wykorzystali przejęte wcześniej tokeny, aby opublikować infekujący kod. Co istotne, atak ten jest bezpośrednio powiązany z wcześniejszym naruszeniem infrastruktury firmy Checkmarx, zajmującej się dostarczaniem narzędzi do testowania bezpieczeństwa aplikacji.

Precyzyjne uderzenie w środowiska chmurowe

Analiza przeprowadzona przez ekspertów z JFrog i OX Security wykazała, że złośliwa aktualizacja nie była nastawiona na przeciętnego użytkownika zapisującego hasła do serwisów społecznościowych. To zaawansowane narzędzie stworzone do infiltracji środowisk deweloperskich.

Zmodyfikowany pakiet wykorzystywał niestandardowy loader (bw_setup.js), uruchamiany automatycznie podczas procesu instalacji. Uwalniał on zaciemniony skrypt, który po cichu skanował system ofiary, kradnąc najbardziej wrażliwe dane programistyczne:

• Klucze SSH oraz historię poleceń w terminalu.
• Tokeny autoryzacyjne dla platform GitHub oraz npm.
• Poświadczenia dostępowe do chmur AWS, Microsoft Azure i Google Cloud Platform (GCP).
• Pliki konfiguracyjne środowisk Kubernetes, systemów CI/CD oraz narzędzi bazujących na sztucznej inteligencji.

Zgromadzone dane były kompresowane, podwójnie szyfrowane i wysyłane na przejęty serwer (podszywający się pod usługi telemetryczne Checkmarx). W przypadku blokady tego połączenia złośliwy kod wykorzystywał tokeny ofiary, aby stworzyć na jej prywatnym koncie GitHub nowe repozytorium i tam przemycić wykradzione informacje.

Sejfy z hasłami są bezpieczne

Bitwarden zareagował błyskawicznie, usuwając fałszywą wersję z repozytorium i odcinając skompromitowane punkty dostępu. W oficjalnym oświadczeniu firma jasno zaznaczyła, że główny kod źródłowy aplikacji oraz systemy produkcyjne nie zostały naruszone. Nie ma również żadnych dowodów na to, by atakujący uzyskali dostęp do zaszyfrowanych sejfów użytkowników. Problem dotyczy wyłącznie specyficznej grupy programistów i administratorów, którzy pobrali Bitwarden CLI w wersji 2026.4.0 bezpośrednio przez menedżer npm we wskazanym, 1,5-godzinnym oknie czasowym.

Osoby, które mogły paść ofiarą ataku, powinny natychmiast wykonać kroki zaradcze:

• Odinstalować skompromitowaną paczkę (npm uninstall -g @bitwarden/cli).
• Wyczyścić pamięć podręczną menedżera (npm cache clean –force).
• Bezwzględnie zresetować i wygenerować na nowo wszystkie klucze API, tokeny dostępowe oraz klucze SSH, które znajdowały się na zainfekowanej maszynie.
• Zainstalować najnowszą, czystą wersję Bitwarden CLI 2026.4.1.

Eksperci z branży cyberbezpieczeństwa zgodnie podkreślają – ten incydent nie jest powodem do rezygnacji z menedżerów haseł. Ryzyko wynikające z używania tych samych ciągów znaków w wielu serwisach jest wielokrotnie wyższe niż to płynące z ukierunkowanych ataków na pakiety deweloperskie.

Rosnąca fala phishingu: ataki na kopie iCloud z użyciem fałszywych stron Apple

Bitwarden CLI 2026.4.0 was compromised in the Checkmarx supply chain campaign.

https://socket.dev/blog/bitwarden-cli-compromised

#Bitwarden #BitwardenCLI #Checkmarx #cybersecurity #npm

🔥🚀 Oh, rejoice! Another day, another hack—this time, Bitwarden's CLI couldn't dodge a bullet in the #Checkmarx supply chain campaign. Thank goodness for Socket Research Team, because without them, we'd never know which npm package will ruin our day next! 🙄🔒💥
https://socket.dev/blog/bitwarden-cli-compromised #Bitwarden #SupplyChain #SocketResearch #npmSecurity #HackNews #HackerNews #ngated

Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain Campaign

https://socket.dev/blog/bitwarden-cli-compromised

#HackerNews #Bitwarden #Checkmarx #SupplyChain #Cybersecurity #SecurityBreach #OpenSource

Checkmarx nel mirino di TeamPCP: l’immagine Docker ufficiale di KICS trojanizzata per esfiltrare i segreti dell’infrastruttura

https://insicurezzadigitale.com/checkmarx-nel-mirino-di-teampcp-limmagine-docker-ufficiale-di-kics-trojanizzata-per-esfiltrare-i-segreti-dellinfrastruttura/

Fake Prettier Extension on VSCode Marketplace Dropped Anivia Stealer https://hackread.com/prettier-extension-vscode-marketplace-anivia-stealer/ #FakePrettierExtensiononVSCodeMarketplaceDroppedAniviaStealer #AniviaStealer #Cybersecurity #Brandjacking #Marketplace #Checkmarx #ZeroTrace #Security #Prettier #Coding

What 2024 taught us about security vulnerabilties https://www.helpnetsecurity.com/2025/01/14/cybersecurity-vulnerabilities-2024/ #SkyboxSecurity #cybersecurity #vulnerability #BlackDuck #Checkmarx #BitSight #Fortinet #Veracode #Tenable #report #survey #News #CISA #NCSC #FBI #NSA

What 2024 taught us about security vulnerabilties https://www.helpnetsecurity.com/2025/01/14/cybersecurity-vulnerabilities-2024/ #SkyboxSecurity #cybersecurity #vulnerability #BlackDuck #Checkmarx #BitSight #Fortinet #Veracode #Tenable #report #survey #News #CISA #NCSC #FBI #NSA

MUT-1244 targeting security researchers, red teamers, and threat actors https://www.helpnetsecurity.com/2024/12/16/mut-1244-targeting-security-researchers-threat-aws-wordpress-data-theft/ #cryptojacking #Don'tmiss #Checkmarx #datatheft #WordPress #Hotstuff #phishing #Datadog #GitHub #News

Cycode raises $20M to secure DevOps pipelines - Israeli security startup Cycode, which specializes in helping enterprises secure t... - http://feedproxy.google.com/~r/Techcrunch/~3/VBoJSFpPtjo/ #agilesoftwaredevelopment #continuousintegration #softwaredevelopment #softwareengineering #accessmanagement #insightpartners #fundings&exits #versioncontrol #recentfunding #securitytools #unitedstates #enterprise #ylventures #bitbucket #checkmarx #security #startups #funding #jenkins #cycode #aws