🗓️ Contexte

Source : Ars Technica, article de Dan Goodin publié le 29 avril 2026. L’article relate une série d’incidents en cascade sur une période de 40 jours, impliquant plusieurs entreprises de cybersécurité et deux groupes d’attaquants distincts.

🔗 Chronologie des incidents

  • 19 mars 2026 : Compromission du compte GitHub de Trivy, scanner de vulnérabilités open source. Le groupe TeamPCP pousse du malware vers les utilisateurs de Trivy, dont Checkmarx. Le malware cible des tokens de dépôts, clés SSH et autres credentials.
  • 23 mars 2026 : Le compte GitHub de Checkmarx est compromis à son tour et commence à distribuer du malware à ses propres utilisateurs. Checkmarx détecte et tente de remédier à la brèche.
  • 30 mars 2026 : Date de la donnée exfiltrée et ultérieurement publiée par Lapsu$, indiquant que l’accès persistait malgré les tentatives de remédiation.
  • 22 avril 2026 : Nouvelle vague de malware poussée depuis le compte GitHub de Checkmarx. Le dépôt Docker Hub officiel Checkmarx/kics publie également des packages malveillants. Bitwarden est aussi touché : un package malveillant est distribué via npm (@bitwarden/cli@2026.4.0) entre 17h57 et 19h30 (ET).
  • Fin avril 2026 : Lapsu$ publie des données privées de Checkmarx sur le dark web.

🎯 Victimes et vecteurs

  • Trivy : point d’entrée initial (compte GitHub compromis)
  • Checkmarx : victime de la supply-chain Trivy, puis vecteur de distribution vers ses propres clients ; victime de fuite de données par Lapsu$
  • Bitwarden : victime de la même campagne, via le package npm @bitwarden/cli@2026.4.0

👥 Acteurs de la menace

  • TeamPCP : groupe access-broker, responsable de la compromission de Trivy et de la collecte de credentials. Cible prioritairement les outils disposant d’accès privilégiés.
  • Lapsu$ : groupe ransomware, principalement composé de jeunes adultes, connu pour ses intrusions dans de grandes entreprises et ses provocations publiques. A acquis les accès de Checkmarx auprès de TeamPCP.

🔧 Infrastructure commune

Selon la société Socket, le payload utilisé contre Bitwarden partage le même endpoint C2 et la même infrastructure core que le malware utilisé contre Checkmarx, établissant le lien avec la campagne Trivy.

📦 Packages malveillants identifiés

  • @bitwarden/cli@2026.4.0 (npm, distribué le 22 avril 2026 entre 17h57 et 19h30 ET)
  • Packages malveillants sur le dépôt Docker Hub Checkmarx/kics

📰 Type d’article

Article de presse spécialisée à visée informative, retraçant une série d’incidents supply-chain interconnectés et leur attribution partielle à deux groupes distincts.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • TeamPCP (cybercriminal) — orkl.eu · Malpedia
  • Lapsu$ (cybercriminal) —

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1586.003 — Compromise Accounts: Cloud Accounts (Resource Development)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1133 — External Remote Services (Persistence)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1567 — Exfiltration Over Web Service (Exfiltration)

Malware / Outils

  • malware distribué via Trivy/Checkmarx/Bitwarden (non nommé) (stealer)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ arstechnica.com — source non référencée (0pts)
  • ✅ 5968 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : TeamPCP, Lapsu$ (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://arstechnica.com/information-technology/2026/04/why-a-recent-supply-chain-attack-singled-out-security-firms-checkmarx-and-bitwarden/