Prema najnovijim informacijama, podaci koji su procureli potječu iz Checkmarxovih GitHub repozitorija, a pristup tim repozitorijima omogućen je kroz početni napad na opskrbni lanac 23. ožujka 2023., izjavili su iz Checkmarxa. Tvrtka nije otkrila koje su vrste podataka procurile.
Nije samo Checkmarx pretrpio posljedice Trivy napada. Socket je izvijestio da je još jedna sigurnosna tvrtka, Bitwarden, također pogođena istim napadom na opskrbni lanac. Socket je povezao Bitwardenov proboj s Trivy kampanjom, jer je korišteni paket imao isti C2 endpoint i osnovnu infrastrukturu kao malver Checkmarxa.
Napad Trivy izvela je grupa koja se naziva TeamPCP. Ova grupa spada među najuspješnije operacije posrednika pristupa, a radi se o hakerima koji kradu vjerodajnice od žrtava te ih prodaju drugim hakerima. Ključ njihovog uspjeha leži u ciljanju alata koji već imaju privilegirani pristup.
U slučaju Checkmarxa, čini se da je TeamPCP prodao vjerodajnice Lapsu$, grupi za otkupninu koja se sastoji uglavnom od tinejdžera poznatih po svojoj vještini provale u velike tvrtke, kao i po svojim provokacijama i ponosu kada uspiju.
Ovi incidenti pokazuju kaskadne učinke koje jedan proboj može imati. S obzirom na to da su i Checkmarx i Bitwarden pogođeni, moguće je da će biti novih napada na njihove kupce ili partnere, te da bi moglo doći do još više kompromitacija. Feross Aboukhadijeh, izvršni direktor Socketa, izjavio je u e-mailu da su sigurnosne organizacije posebne mete zbog blizine njihovih proizvoda osjetljivim podacima i širokoj distribuciji na internetu.
„Vidjet ćete ovu istu nit kroz sve ove kompromitacije“, rekao je Aboukhadijeh. „Napadači tretiraju sigurnosne alate kao ciljeve, ali i kao mehanizme za isporuku. Napadaju proizvode koji bi trebali štititi opskrbni lanac, a zatim koriste te iste proizvode za krađu vjerodajnica i prelazak na sljedeću žrtvu.“
