Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Corso Ethical Hacker: accedi alla promozione fino al 30 Arile! Scopri di più
Checkmarx nel mirino: dati su dark web dopo attacco supply chain, sospette chiavi API e credenziali GitHub esfiltrate
Checkmarx ha confermato che dati collegati all’azienda sono stati pubblicati sul dark web in seguito a un incidente di supply chain avvenuto il 23 marzo 2026. Dalle verifiche in corso emerge che le informazioni diffuse proverrebbero da un repository GitHub di Checkmarx e che l’accesso a tale repository sarebbe stato reso possibile proprio dall’attacco iniziale alla catena di fornitura.
La società ha indicato che l’indagine forense è ancora attiva e che l’obiettivo immediato è comprendere con precisione la natura dei file esfiltrati e l’ampiezza dell’eventuale esposizione.
Un punto centrale della comunicazione riguarda la separazione tra repository di sviluppo e ambiente di produzione dei clienti. Checkmarx ha sottolineato che il repository GitHub coinvolto è mantenuto separatamente rispetto ai sistemi che ospitano i servizi in produzione e che nel repository non viene archiviato alcun dato dei clienti. Nonostante questa distinzione riduca il rischio di impatto diretto sugli utenti finali, la pubblicazione di materiale tecnico può comunque rappresentare un problema di sicurezza, soprattutto se include codice sorgente o segreti utilizzati nei processi di sviluppo e distribuzione.
In parallelo, fonti di monitoraggio del dark web hanno segnalato rivendicazioni attribuite a un gruppo cybercriminale che avrebbe elencato Checkmarx tra le vittime, indicando come contenuti esposti elementi come codice sorgente, database di dipendenti, chiavi API e credenziali per database MongoDB e MySQL. Checkmarx sta lavorando per validare queste affermazioni e per determinare quali informazioni siano autentiche e quali eventualmente gonfiate o riciclate per aumentare la pressione.
L’episodio si inserisce in una sequenza di eventi legati alla sicurezza della supply chain del software. In precedenza, Checkmarx aveva subito una compromissione che ha portato alla manomissione di workflow GitHub Actions e di plugin distribuiti tramite marketplace, con l’obiettivo di diffondere un malware in grado di sottrarre credenziali e segreti degli sviluppatori. Successivamente sono emersi sospetti su ulteriori compromissioni, inclusi componenti container ed estensioni, con effetti a catena che hanno coinvolto anche pacchetti di terze parti.
Come misura immediata di incident response, Checkmarx ha bloccato gli accessi al repository GitHub interessato, mentre continua l’analisi per stabilire eventuali obblighi di notifica nel caso venisse confermata la presenza di informazioni sensibili. In scenari simili, la rotazione di chiavi API, token e credenziali, insieme alla revisione dei workflow CI/CD e dei permessi, diventa cruciale per contenere la minaccia e prevenire ulteriori abusi.