Компанія Checkmarx, відомий постачальник рішень для безпеки програмного забезпечення, зіткнулася з інцидентом, що стосується її інструменту аналізу коду KICS (Keep Infrastructure as Code Secure). Зловмисники успішно здійснили атаку на ланцюг постачання, скомпрометувавши офіційні канали розповсюдження KICS. Метою атаки було викрадення чутливих даних безпосередньо з середовищ розробників, які використовують цей інструмент.
Атака полягала у впровадженні шкідливого коду в легітимні компоненти KICS. Зокрема, були скомпрометовані:
- Docker-образи: Зловмисники модифікували офіційні Docker-образи Checkmarx KICS, які використовуються для розгортання інструменту в контейнеризованих середовищах.
- Розширення для VSCode: Маніпуляції торкнулися розширень KICS для популярного інтегрованого середовища розробки Visual Studio Code.
- Розширення Open VSX: Аналогічно, були скомпрометовані розширення, доступні через альтернативний маркетплейс Open VSX.
Після встановлення скомпрометованих версій інструменту, шкідливий код отримував можливість збирати та передавати конфіденційну інформацію, таку як облікові дані, ключі API, вихідний код проєктів та інші дані, що зберігаються в середовищах розробки.
Цей інцидент становить значну загрозу для:
- Розробників та команд DevOps: Особливо тих, хто використовує Checkmarx KICS для аналізу безпеки свого коду, інтегруючи його в CI/CD пайплайни або безпосередньо в IDE.
- Організацій, що використовують KICS: Будь-яка компанія, яка покладається на KICS для виявлення вразливостей в інфраструктурі як коді (IaC) або інших проєктах, могла потенційно піддати свої розробницькі середовища ризику.
- Користувачів скомпрометованих каналів: Ті, хто завантажував або оновлював KICS через модифіковані Docker-образи, розширення VSCode або Open VSX, можуть мати скомпрометовані системи.
Компрометація інструменту, призначеного для підвищення безпеки, є особливо небезпечною, оскільки вона підриває довіру до інструментарію безпеки та може призвести до витоку критично важливої інтелектуальної власності.
Для мінімізації ризиків та реагування на потенційну компрометацію, рекомендується виконати наступні дії:
- Перевірка цілісності: Негайно перевірте цілісність усіх інсталяцій Checkmarx KICS, використовуючи офіційні хеш-суми або інші механізми перевірки.
- Оновлення з надійних джерел: Завантажуйте та оновлюйте програмне забезпечення лише з офіційних та перевірених джерел, уникаючи сторонніх репозиторіїв, якщо їхня надійність не підтверджена.
- Ізоляція середовищ: Забезпечте максимальну ізоляцію розробницьких середовищ від виробничих систем.
- Моніторинг мережевої активності: Відстежуйте незвичайну мережеву активність з розробницьких машин, яка може свідчити про спроби витоку даних.
- Ротація облікових даних: У разі підозри на компрометацію, негайно змініть усі облікові дані, ключі API та токени, які могли бути доступні в скомпрометованих середовищах.
- Принцип найменших привілеїв: Застосовуйте принцип найменших привілеїв для всіх користувачів та систем, обмежуючи доступ лише до необхідних ресурсів.
- Навчання персоналу: Проводьте регулярне навчання розробників щодо загроз ланцюга постачання та важливості перевірки джерел програмного забезпечення.