Un attacco informatico a catena ha colpito Checkmarx, fornitore di software per la sicurezza, con il gruppo estorsivo Lapsus$ che ha rivendicato la pubblicazione di codice sorgente, chiavi API, credenziali di database MongoDB e MySQL, e dati dei dipendenti. L'incidente, avvenuto il 23 marzo 2026, si inserisce in una campagna sistematica contro i provider di strumenti di sicurezza, orchestrata inizialmente dal gruppo criminale TeamPCP.
La portata dell'attacco supera di gran lunga quella di un singolo episodio di violazione dei dati. Colpendo strumenti integrati direttamente negli ambienti di sviluppo, gli aggressori si sono posizionati in un punto di controllo privilegiato dell'intera filiera software, con implicazioni potenzialmente devastanti per migliaia di organizzazioni downstream.
La catena di compromissione ha origine a fine febbraio 2026, quando TeamPCP ha violato Trivy, uno scanner di vulnerabilità open source gestito da Aqua Security. Il 16 marzo, il gruppo ha iniettato malware in grado di sottrarre credenziali, chiavi SSH e file di configurazione Kubernetes. Quell'accesso iniziale ha poi aperto la strada a ulteriori intrusioni, colpendo LiteLLM, Telnyx e KICS, il tool di analisi statica open source mantenuto da Checkmarx.
Il 23 marzo TeamPCP ha replicato la tecnica su KICS, pubblicando immagini Docker compromesse sull'hub ufficiale di Checkmarx. Secondo l'analisi del team di ricerca di Socket, il malware era in grado di generare report di scansione non censurati, cifrarli e inviarli a endpoint esterni, esponendo credenziali e dati di configurazione sensibili scansionati dagli utenti. Checkmarx ha dichiarato domenica che l'accesso al repository GitHub coinvolto "è stato facilitato attraverso l'attacco iniziale alla supply chain del 23 marzo 2026", confermando l'origine dell'incidente.
Gli attaccanti non si sono fermati a KICS. Sono stati compromessi anche GitHub Actions di Checkmarx e due plugin Open VSX, come confermato dalla stessa società nell'advisory di sicurezza iniziale. La settimana scorsa, i ricercatori di Socket hanno rivelato che anche il gestore di password open source Bitwarden, nella sua versione a riga di comando, è stato compromesso nell'ambito della stessa intrusione. Con oltre 10 milioni di utenti e più di 50.000 aziende clienti, Bitwarden si definisce il secondo password manager enterprise per quota di mercato: la sua compromissione amplifica considerevolmente il raggio d'azione dell'attacco.
Feross Aboukhadijeh, CEO di Socket, ha spiegato che gli aggressori puntano deliberatamente agli strumenti più privilegiati e più radicati negli ambienti di sviluppo. Dopo aver compromesso i tool open source, TeamPCP ha stretto partnership con gruppi ransomware ed estorsivi tra cui Vect e Lapsus$, annunciando su BreachForums l'intenzione di concatenare future compromissioni in campagne ransomware più devastanti. A inizio aprile, la startup Mercor, attiva nella selezione del personale tramite intelligenza artificiale, ha confermato di essere "una delle migliaia di aziende" colpite dall'attacco alla supply chain di LiteLLM, con Lapsus$ che ha messo in vendita 4 TB di dati, di cui 939 GB di codice sorgente di Mercor.
Checkmarx ha dichiarato di aver bloccato l'accesso al repository coinvolto e di voler notificare le parti interessate qualora i dati dei clienti risultassero esposti. Le indagini sono ancora in corso. Resta aperta una questione strutturale: se gli strumenti progettati per certificare la sicurezza del software diventano essi stessi vettori di attacco, quale modello di fiducia può reggere nell'ecosistema della sicurezza digitale, e chi ne risponde nei confronti di imprese e consumatori finali?