Twórcy zabezpieczeń sami padli ofiarą hakerów. Jak atak na Trivy wywołał efekt domina

Kiedy firmy odpowiedzialne za ochronę naszych danych same stają się celem skutecznego ataku, w całej branży zapala się czerwona lampka.

Groźny atak na łańcuch dostaw skompromitował popularne narzędzia dla programistów, uderzając rykoszetem w gigantów cyberbezpieczeństwa – firmy Checkmarx oraz Bitwarden. To dobitny dowód na to, że przestępcy znaleźli nowy, niezwykle skuteczny wektor ataku: infekowanie samych strażników.

Atak na łańcuch dostaw. Złośliwa aktualizacja Bitwarden CLI zagrażała deweloperom

Efekt domina. Jak złośliwy kod zainfekował gigantów

Wszystko zaczęło się w połowie marca od przejęcia konta na GitHubie należącego do Trivy – szeroko wykorzystywanego skanera podatności w kodzie. Hakerzy z grupy TeamPCP wykorzystali ten dostęp, by przemycić złośliwe oprogramowanie bezpośrednio do aktualizacji pobieranych przez użytkowników narzędzia. Malware błyskawicznie zaczął przeczesywać zainfekowane maszyny w poszukiwaniu tokenów dostępu, kluczy SSH i poufnych danych uwierzytelniających.

W ten sposób przestępcy bezszelestnie włamali się do systemów firm Checkmarx oraz Bitwarden (o ataku na ten popularny menedżer haseł pisaliśmy już wcześniej). Zamiast atakować korporacje frontalnie, hakerzy weszli głównymi drzwiami, wykorzystując zaufane oprogramowanie firm trzecich.

Podwójny koszmar Checkmarx. Od kradzieży danych po szantaż

Dla firmy Checkmarx był to zaledwie początek trwającego ponad miesiąc kryzysu. Krótko po pierwszej infekcji, napastnicy przejęli oficjalne konto firmy na GitHubie i zaczęli rozsyłać złośliwy kod dalej – prosto do jej klientów. Choć Checkmarx poinformowało o szybkim załataniu luki, 22 kwietnia sytuacja się powtórzyła, co sugeruje, że intruzi nigdy nie utracili dostępu do infrastruktury.

Jakby tego było mało, do gry wkroczyła niesławna grupa ransomware Lapsu$, która pod koniec kwietnia opublikowała w dark webie prywatne pliki wykradzione z serwerów Checkmarx. Wskazuje to na brutalną rynkową praktykę: grupa TeamPCP najpewniej sprzedała dostęp do przejętej sieci młodym hakerom z Lapsu$, a firma przez tygodnie nie potrafiła zidentyfikować pełnej skali włamania.

Dlaczego hakerzy polują na narzędzia bezpieczeństwa?

Ten incydent obnaża nową strategię cyberprzestępców. Oprogramowanie zabezpieczające jest dziś traktowane przez hakerów jednocześnie jako główny cel i idealny mechanizm dystrybucji wirusów.

Tego typu programy mają z założenia głęboki, uprzywilejowany dostęp do najbardziej wrażliwych danych w systemach korporacyjnych. Atakując zaufane narzędzia, hakerzy jednym celnym ciosem otwierają sobie drzwi do tysięcy kolejnych ofiar w dół łańcucha dostaw. To efekt kaskadowy, który pokazuje, że w dzisiejszym świecie IT nikt nie jest w pełni bezpieczny – nawet ci, którzy ten świat chronią.

🚨 NEWS: Il Diffuso Scanner Trivy Compromesso in un Attacco alla Supply Chain

Ecco i punti chiave in breve:
💡 L'allarme è scattato nel mondo della sicurezza informatica: il diffusissimo scanner di vulnerabilità open-source Trivy è stato compromesso. L'attacco alla supply chain, una tattica...

🚀 LINK: https://meteoraweb.com/news/il-diffuso-scanner-trivy-compromesso-in-un-attacco-alla-supply-chain

#cybersecurity #malware #openSource #trivy #vulnerabilità

#Checkmarx confirms #LAPSUS$ hackers leaked its stolen #GitHub data

https://www.bleepingcomputer.com/news/security/checkmarx-confirms-lapsus-hackers-leaked-its-stolen-github-data/

#cybersecurity #DataBreach #TeamPCP #Trivy

From #trivy to #Checkmarx : Ongoing supply-chain attack targets security, dev tools

Attackers are deliberately targeting the tools developers are told to trust most: security scanners, password managers, and other high-privilege software wired directly into developer environments

https://www.theregister.com/2026/04/27/supply_chain_campaign_targets_security/

Checkmarx Breach Exposes GitHub Repository Data on Dark Web

Checkmarx revealed that a security breach, linked to a March 23 supply chain attack, exposed sensitive GitHub repository data, which has now surfaced on the dark web. The incident has been contained, with no customer data compromised, as the affected repository was separate from Checkmarx's customer production environment.

https://osintsights.com/checkmarx-breach-exposes-github-repository-data-on-dark-web?utm_source=mastodon&utm_medium=social

#SupplyChain #Github #Trivy #Checkmarx #DarkWeb

Neue Folge, neue News - diesmal gibt’s auch die richtigen Schlagzeilen des Aprils 🫯

Der Linux-Kernel erscheint in Version 7.0 und mit Gaim taucht ein alter neuer Messenger auf. Im #PyPi taucht Schadcode auf während ein CVE die #Nix-Community auf Trab hält. Rund um die Documentation Foundation und dem neuen Euro-Office-Projekt entsteht ein Eklat. Der #Trivy-Vorfall sorgt international für Aufsehen und KeePassXC wird geforkt.

🎙️ https://user.space/e018-newsupdate-04-2026-linux-7-0-nix-cve-document-foundation-euro-office-trivy-incident/

#RestInPentium #SoftwareEinsatzKommando

Recent software supply chain attacks - yowers!

In March, popular open source tools Trivy and Axios were compromised with malware, and we won't know the full blast radius for months.

Axios was breached by North Korean hackers who turned it into a malware delivery vehicle for about three hours after attackers hijacked a maintainer's account and slipped a remote-access trojan (RAT) into two seemingly legitimate releases.

Trivy was hacked by a loosely knit band of hackers called TeamPCP, who injected credential-stealing malware.

"Attackers are starting to really look at the supply chain and open source packages, and figure out ways to compromise developers to deliver malware or gather data" ... https://www.theregister.com/2026/04/11/trivy_axios_supply_chain_attacks/ #Hackers #Malware #Software #OpenSource #SoftwareSupplyChain #Trojan #CyberSecurity #Security #Trivy #Axios

https://www.theregister.com/2026/04/11/trivy_axios_supply_chain_attacks/ #trivy

"TeamPCP compromised Trivy, an open source vulnerability scanner maintained by Aqua Security in late February, then injected credential-stealing malware into the scanner on March 16 through the binary, GitHub Actions, and container images. This malware hoovered up CI/CD secrets, cloud credentials, SSH keys, and Kubernetes configuration files, and planted persistent backdoors on developers' machines. It also gave the attacks an initial access vector into several other open source tools.

Then, on March 23, the same crew used CI/CD secrets stolen from the Trivy intrusion to inject the same malware into open source static analysis tool KICS, maintained by Checkmarx. Days later, TeamPCP published malicious versions of LiteLLM and Telnyx to the Python Package Index (PyPI), both of which use Trivy in their CI/CD pipeline."