Sicherheitsfirmen sind mit gezielten Angriffen auf die Lieferkette konfrontiert

Die Cybersicherheitsbranche war in den letzten sechs Wochen mit einer beispiellosen Reihe koordinierter Angriffe konfrontiert, wobei Supply-Chain-Angriffe einige der vertrauenswürdigsten Sicherheitsfirmen der Branche zum Ziel hatten. Checkmarx, ein führendes Sicherheitsunternehmen, das für seine Code-Scanning- und Schwachstellenerkennungslösungen bekannt ist, ist zum Brennpunkt dieses besorgniserregenden Trends geworden und erlebte in schneller Folge mehrere Sicherheitsverletzungen. Dieses alarmierende Angriffsmuster zeigt, wie Bedrohungsakteure Sicherheitsanbieter zunehmend ins Visier nehmen, um deren Kunden in großem Umfang zu kompromittieren, was zu einem Kaskadeneffekt in Unternehmensnetzwerken auf der ganzen Welt führt.

Die Krise begann am 19. März, als es Angreifern gelang, Trivy zu kompromittieren, einen weit verbreiteten Open-Source-Schwachstellenscanner, auf den sich Tausende von Entwicklungsteams und Sicherheitsexperten verlassen. Die Angreifer drangen sorgfältig in das GitHub-Repository von Trivy ein und verschafften sich unbefugten Zugriff auf die Anmeldeinformationen und Berechtigungen des Kontos. Einmal drin, nutzten die Bedrohungsakteure diesen Zugriff, um bösartigen Code in die legitimen Trivy-Versionen einzuschleusen und so ein vertrauenswürdiges Sicherheitstool effektiv in einen Bereitstellungsmechanismus für Malware zu verwandeln. Die Kompromittierung war besonders heimtückisch, da sie das implizite Vertrauen der Entwickler in Sicherheitstools ausnutzte, was dazu führte, dass Organisationen, die Trivy nutzten, die infizierten Versionen unwissentlich herunterluden und in ihren Umgebungen ausführten.

Die über die kompromittierten Trivy-Versionen verbreitete Malware wurde speziell entwickelt, um vertrauliche Anmeldeinformationen von infizierten Systemen abzugreifen. Die bösartige Nutzlast durchsuchte kompromittierte Maschinen systematisch nach Repository-Tokens, SSH-Schlüsseln, API-Anmeldeinformationen und anderen Authentifizierungsmaterialien, die Angreifern Zugriff auf Quellcode-Repositorys und interne Systeme gewähren könnten. Eine der Organisationen, die diesem ersten Supply-Chain-Angriff zum Opfer fielen, war Checkmarx selbst, das Trivy ironischerweise als Teil seiner eigenen Sicherheitsinfrastruktur nutzt. Dies führte zu einem besonders besorgniserregenden Szenario, bei dem ein Sicherheitsanbieter durch genau die Tools infiziert wurde, die zum Schutz von Systemen vor solchen Bedrohungen entwickelt wurden.