Ein Lieferkettenengagement hat ein Instrument zur Verbesserung der Sicherheit getroffen: Docker-Bilder und VS-Code / Open VSX-Erweiterungen aus dem Checkmarx KICS Open Scanner wurden geschnitten, um Geheimnisse zu stehlen aus Entwicklungsumgebungen. KICS, lokal verwendet, um Infrastruktur wie Code zu analysieren, verarbeitet Dateien und Variablen, die oft Token, Schlüssel und sensible Konfigurationen enthalten; diesen Vektor in primäres Ziel lässt Geräte und Organisationen, die automatischen Lecks von Anmeldeinformationen und interne Architektur ausgesetzt.
Laut der öffentlichen Untersuchung des Vorfalls und der Ankündigung des Checkmarks selbst haben die Angreifer eine versteckte Komponente - als "MCP-Addon" bezeichnet - eingeführt, die von einer codierten URL heruntergeladen wurde und ein mehrstufiges Modul zum Auffinden, Verschlüsseln und Exfiltern von Daten wie GitHub-Tokens, AWS / Azure / GCP-Anmeldeinformationen, Token npm, SSH-Aassistenten, Claude-Umgebungs Variablen und Claudetypen-Variablen brachte. Ein Teil der Exfiltration wurde zu einer Domäne gemacht, die die legitime Infrastruktur von Checkmarx imitierte und durch die automatische Erstellung von öffentlichen Repositories in GitHub die gestohlenen Daten zu speichern.
Der technische Bereich umfasst zwei Vektoren: Docker Hub-Tags, die während eines genauen Intervalls vorübergehend in eine böswillige Verdauung umgeordnet wurden und IDE-Erweiterungen, die das böswillige Addon geladen. Dies bedeutet, dass der Einfluss davon abhängt, wann die Bilder oder Erweiterungen heruntergeladen wurden; Checkmark restaurierte die betroffenen Etiketten und entfernte das gefälschte Etikett, aber die Benutzer, die sie in dieser Zeit erhalten, müssen davon ausgehen, dass ihre Geheimnisse beeinträchtigt wurden.
Die praktischen Auswirkungen sind ernst. Die Belichtung von Tokens und Schlüsseln von Entwicklungsmaschinen kann den Zugriff auf Repositories, Cloud-Einstellungen, Paketaufzeichnungen und kontinuierliche Integrationsumgebungen ermöglichen, was Skalierung, sensible Code-Leckages und Back-Tür-Einstellungen ermöglicht. Darüber hinaus nutzen Angreifer, die ein Sicherheitstool nutzen, das Vertrauen des Entwicklers in dieses Tool: Das Ergebnis ist ein hoher Schlaganfall und eine geringe Wahrscheinlichkeit der sofortigen Erkennung.
Wenn Sie glauben, dass Sie eine der betroffenen Versionen heruntergeladen haben, schon. Überprüfen Sie die offizielle Sicherheitshinweise von Checkmark für sichere Details und Versionen und folgen Sie Ihren Anweisungen: Checkmarx - Sicherheitsupdate. Als unmittelbare Maßnahmen betrachtet es, alle potenziell exponierten Anmeldeinformationen (GitHub-Token, Cloud-Schlüssel, Tokens npm, SSH-Schlüssel) wiederherzustellen, Umgebungen von Zuversichtspunkten wieder aufzubauen und Verbindungen zu den mit dem Exfilter verbundenen Domänen und IP-Adressen zu blockieren. Für Anweisungen, wie man persönliche Token storniert und Konten in GitHub schützt, siehe der offizielle Leitfaden: GitHub - Revocar persönliche Zugänge.
Jenseits der dringenden Sanierung verstärkt dieser Vorfall Praktiken, die in jede Pipeline integriert werden müssen: Anstecken von Därmen und Versionen in Bildern und Erweiterungen, Verifikation der Integrität und Unterschriften von Artefakten, Verwendung von ephemeralen und wenigerreichen Anmeldeinformationen und Überwachung der Erstellung von Repositorien oder ungewöhnlichen Aktivitäten in verknüpften Konten. Gerätesignatur-Tools wie Sigstore helfen, das Vertrauen darüber zu erhöhen, welche Binäre und Container verbraucht werden: Sigstore.
Nicht alle Zuschreibungen sind fest: Es gab öffentliche Behauptungen, die versuchten, den Angriff auf Gruppen zu verlinken, die für Vorfälle verantwortlich waren, aber die offenen Untersuchungen bestätigten keine endgültige Zuschreibung. Dieser Mangel an Sicherheit unterstreicht eine weitere Lektion: nicht auf eine einzige Ebene des Vertrauens verlassen und vorausgesetzt, dass eine kritische Abhängigkeit angegriffen werden kann. Für Sicherheitsausrüstungen erfordert dies die Einarbeitung kompensatorischer Steuerungen wie z.B. Repository-Leckerkennung, kontinuierliches geheimes Scannen und Cloud Access Audit.
Kurz gesagt, nehmen Sie die Bedrohung ernst: Rekrutieren und brechen Geheimnisse, überprüfen und rekonstruieren Umgebungen, setzen Bilder / Ausdehnungen von SHAs und aktivieren Unterschriften oder Integritätsprüfung. Es nutzt diese Krise, um die Politik der Verwaltung von Geheimnissen und der Hygiene der Entwicklung zu verschärfen: kurzfristige Anmeldeinformationen, Mindestrechte und Telemetrie, um Frühanomalien zu erkennen, sind Investitionen, die das Expositionsfenster reduzieren, wenn ein Instrument des Vertrauens gefährdet ist.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...