Incident supply chain Checkmarx : artefacts compromis, exfiltration de données et publication par LAPSUS$

Wed, 13 May 2026 00:00:00 +0000

🔍 Contexte

Cet article est une mise à jour officielle publiée par Checkmarx le 9 mai 2026 sur leur blog, relatant un incident de sécurité supply chain en cours ayant débuté le 23 mars 2026. L’article compile plusieurs mises à jour successives (23 mars, 22 avril, 26 avril, 27 avril, 9 mai 2026).

🗓️ Chronologie de l’incident

23 mars 2026 : Checkmarx identifie un incident supply chain lié à l’attaque TeamPCP ciblant le scanner Trivy (signalée le 19 mars). Des artefacts malveillants sont publiés sur OpenVSX et dans des GitHub Actions. L’attaquant pousse du code malveillant directement dans les dépôts GitHub de Checkmarx.
30 mars 2026 : Exfiltration de données depuis les dépôts GitHub de Checkmarx.
22 avril 2026 : Deuxième vague de publications d’artefacts malveillants (KICS DockerHub, ast-github-action, extensions VS Code), indiquant un accès persistant ou renouvelé de l’attaquant.
25 avril 2026 : LAPSUS$ publie sur le dark web des données estampillées du 30 mars, issues des dépôts GitHub de Checkmarx.
9 mai 2026 : Publication d’une version malveillante du plugin Jenkins AST (version 2026.5.09) sur le Jenkins Marketplace.

🎯 Artefacts compromis

Vague 1 (23 mars 2026) :

Artefacts Malveillants on CyberVeille

Incident supply chain Checkmarx : artefacts compromis, exfiltration de données et publication par LAPSUS$

🔍 Contexte

🗓️ Chronologie de l’incident

🎯 Artefacts compromis