Checkmarx bestätigt Datenfund im Dark Web : GitHub-Repository soll nach Supply-Chain-Angriff betroffen sein

Das Unternehmen formuliert die bisherige Lage vorsichtig: „Auf Grundlage der aktuellen Beweise gehen wir davon aus, dass diese Daten aus dem GitHub-Repository von Checkmarx stammen und dass der Zugriff auf dieses Repository durch den ursprünglichen Supply-Chain-Angriff vom 23. März 2026 ermöglicht wurde.”

Diese Aussage ist sicherheitstechnisch relevant, weil sie zwei Ebenen trennt: Zum einen geht es um den Quellcode- und Entwicklungsbereich, zum anderen um produktive Kundensysteme. Checkmarx versucht damit klarzustellen, dass aus dem, was nach bisherigen Untersuchungen bekannt ist, kein direkter Zugriff auf Kundendaten folgt. Gleichzeitig bleibt die Bewertung vorläufig. Die forensische Analyse läuft weiter, um Art und Umfang der veröffentlichten Daten zu prüfen.

Als Sofortmaßnahme wurde der Zugriff auf das betroffene GitHub-Repository gesperrt. Checkmarx kündigte außerdem an: „Sollten wir feststellen, dass Kundeninformationen in diesen Vorfall involviert waren, werden wir Kunden und alle relevanten Parteien unverzüglich informieren.”

Dark-Web-Behauptung mit brisantem Inhalt

Der neue Hinweis auf den Datenabfluss wurde öffentlich, nachdem Dark Web Informer auf X meldete, dass die Cybercrime-Gruppe LAPSUS$ drei Opfer auf ihrer Leak-Seite genannt habe. Eines davon soll Checkmarx sein. Nach Angaben des Eintrags umfasst das dort angebotene Material:

• Quellcode
• Mitarbeiterdatenbank
• API-Schlüssel
• MongoDB-Zugangsdaten
• MySQL-Zugangsdaten

Sollten sich diese Angaben bestätigen, wäre vor allem der mögliche Abfluss von Zugangsdaten kritisch. API-Schlüssel und Datenbankzugänge können Angreifern helfen, weitere Systeme zu erreichen, Dienste zu missbrauchen oder Folgeangriffe vorzubereiten. Deshalb ist nicht nur der eigentliche Dateninhalt relevant, sondern auch die Frage, ob veröffentlichte Geheimnisse noch gültig waren, wo sie eingesetzt wurden und ob sie bereits rotiert wurden.

Supply-Chain-Angriff als Einstiegspunkt

Der Vorfall steht im Zusammenhang mit dem Angriff auf die Lieferkette rund um Trivy. Ende März wurde bekannt, dass bei Checkmarx zwei GitHub Actions-Workflows und zwei über den Open VSX-Marktplatz verbreitete Erweiterungen manipuliert wurden. Über diese Komponenten wurde ein Credential Stealer verteilt, der auf Entwicklergeheimnisse abzielte.

Solche Angriffe sind besonders gefährlich, weil sie Werkzeuge treffen, denen Entwickler im Alltag vertrauen. Wird eine Erweiterung, ein Build-Prozess oder ein Workflow kompromittiert, kann Schadcode dort ausgeführt werden, wo Quellcode, Zugangsdaten, Token und Signaturschlüssel besonders häufig verarbeitet werden. Der mutmaßliche Angreifer TeamPCP bekannte sich zu dem Angriff.

Weitere Kompromittierungen mit Kettenwirkung

In der vergangenen Woche wurde dieselbe finanziell motivierte Gruppe außerdem verdächtigt, das KICS-Docker-Image von Checkmarx kompromittiert zu haben. Zusätzlich sollen erneut zwei Visual Studio Code (VS Code)-Erweiterungen sowie ein GitHub Actions-Workflow mit ähnlich arbeitender Malware präpariert worden sein.

Diese Manipulation hatte eine Kettenwirkung: Kurzzeitig wurde auch das Bitwarden CLI-Paket im npm-Ökosystem kompromittiert. Gerade dieser Punkt verdeutlicht die Gefahr moderner Entwicklungsumgebungen. Sicherheitswerkzeuge, Erweiterungen, Container-Images und Paketquellen sind eng miteinander verzahnt. Wird ein Baustein kompromittiert, kann sich der Schaden über Build-Pipelines und Abhängigkeiten schnell ausweiten.

Für Unternehmen ist der Fall ein deutlicher Hinweis, Entwicklungsinfrastrukturen wie produktive Systeme zu behandeln: Repository-Zugriffe müssen streng begrenzt, Geheimnisse regelmäßig rotiert, Build-Prozesse überwacht und externe Erweiterungen konsequent geprüft werden. Supply-Chain-Sicherheit ist damit ein Kernbereich moderner Unternehmenssicherheit.