为什么最近的供应链攻击针对安全公司 Checkmarx 和 Bitwarden

Source: Ars Technica

概览

一次始于 2023 年 3 月 23 日的供应链攻击暴露了安全公司 Checkmarx 和 Bitwarden 的数据。此次泄露源自 Checkmarx 的 GitHub 仓库，且是更广泛的 Trivy 攻击活动的一部分。

Checkmarx 泄露

“目前的证据表明，这些数据来源于 Checkmarx 的 GitHub 仓库，且对这些仓库的访问是通过 2023 年 3 月 23 日的初始供应链攻击实现的，”Checkmarx 周一表示。该公司未披露泄露的具体数据类型。

Bitwarden 泄露

Socket 报道，Bitwarden 也在同一次供应链攻击中受到影响。之所以将其与 Trivy 攻击关联，是因为所使用的载荷使用了与 Checkmarx 恶意软件相同的指挥控制（C2）端点和核心基础设施。

• 来源: Socket blog – Bitwarden CLI compromised

Trivy 攻击与 TeamPCP

Trivy 攻击由自称 TeamPCP 的组织实施，该组织以充当访问经纪人而闻名。访问经纪人：

• 从受害者处获取凭证。
• 将这些凭证出售给其他威胁行为者。

TeamPCP 的策略侧重于针对已经拥有特权访问的工具。

与 Lapsu$ 的关联

在 Checkmarx 案例中，TeamPCP 将访问凭证出售给 Lapsu$，一个主要由青少年组成的勒索软件组织。Lapsu$ 以其在入侵大型组织方面的技术实力以及在成功攻击后嘲讽受害者的倾向而闻名。

• 参考: Ars Technica – Teen hackers breach major targets

影响与启示

这些事件展示了单一泄露可能产生的连锁效应：

• Checkmarx 和 Bitwarden 均受到影响，提升了其客户或合作伙伴后续遭受攻击的风险。
• 初始泄露可能导致下游的进一步妥协。

Socket CEO Feross Aboukhadijeh 强调，安全组织是有吸引力的目标，因为它们的产品处理敏感数据且分布广泛。

“你会在这些妥协中看到相同的线索。攻击者把安全工具视为既是目标也是投递机制。他们攻击本应保护供应链的产品，然后利用这些产品窃取凭证并转向下一个受害者。”