供应链攻击为何专门盯上安全公司Checkmarx和Bitwarden

过去六周对安全公司Checkmarx来说可谓流年不利。在短短40天内，该公司至少两次成为供应链攻击的受害者，恶意软件被植入其客户系统，近日又遭到一个热衷于博取声名的黑客组织发动的勒索软件攻击。

这一连串的不幸始于3月19日。彼时，被广泛使用的漏洞扫描工具Trivy遭遇供应链攻击。攻击者首先入侵了Trivy的GitHub账户，随后借此向Trivy用户推送恶意软件，Checkmarx便是受害者之一。这批恶意软件会在被感染的机器上搜寻代码仓库令牌、SSH密钥及其他凭证信息。

四天后，Checkmarx自己的GitHub账户也遭到入侵，攻击者开始向该公司的用户推送恶意软件。Checkmarx随即对此次入侵进行了处置和修复，并将恶意软件替换为正版应用程序。然而事情并未就此终结。

4月22日，该公司的GitHub账户再度推送了一波新的恶意软件，这意味着此前的修复工作可能并不彻底，或者黑客已通过新的、尚未被发现的途径再次得手。Checkmarx随即再次着手将攻击者逐出账户。据安全公司Socket透露，Checkmarx官方的Docker Hub镜像仓库也在同一时期发布了恶意软件包。

本周一，Checkmarx披露了这一事件的最新进展。公司表示，一个被追踪为Lapsu$的勒索软件组织上周将一批私有数据公开转储至暗网，数据的时间戳显示为3月30日。根据这一时间戳推断，攻击者在Checkmarx于3月23日发现入侵事件并试图驱逐他们之后，仍持续保留着对该GitHub账户的访问权限，清除工作未能奏效。

"现有证据表明，此次泄露的数据来源于Checkmarx的GitHub代码仓库，而攻击者获取这些仓库的访问权限，正是通过2023年3月23日那次最初的供应链攻击实现的。"Checkmarx在周一声明中如此表示，但未透露泄露数据的具体类型。

Checkmarx并非此次Trivy入侵事件的唯一受害安全公司。Socket表示，另一家安全公司Bitwarden同样在这场供应链攻击中遭殃。Socket将Bitwarden的入侵事件与Trivy攻击活动关联起来，依据是两者所使用的恶意载荷共享相同的C2控制端点和核心基础设施。

Bitwarden证实，一个恶意软件包"于2026年4月22日美东时间下午5时57分至7时30分之间，通过@bitwarden/cli@2026.4.0的npm分发渠道短暂对外传播"。

此次Trivy攻击事件的幕后黑手是一个自称TeamPCP的组织。该组织是目前最为活跃的访问凭证中间商之一。这类黑客惯于从受害者处窃取凭证，再将其转卖给其他攻击者。TeamPCP之所以能够崛起，关键在于其专门针对那些本身就拥有高权限访问能力的工具下手。

就Checkmarx一事而言，TeamPCP似乎将窃取的访问凭证转售给了勒索软件组织Lapsu$。Lapsu$主要由一群青少年组成，该组织以成功入侵大型企业著称，同时也以得手后的嘲弄和炫耀行为而闻名。

这一系列事件深刻揭示了单次安全漏洞所能引发的连锁效应。由于Checkmarx和Bitwarden均受到波及，其客户或合作伙伴极有可能成为下一轮攻击的目标，由此引发更大范围的下游安全风险。Socket首席执行官Feross Aboukhadijeh在一封电子邮件中指出，安全机构因其产品与敏感数据高度关联、且在互联网上分布广泛，已成为攻击者的重点觊觎对象。

"在所有这些入侵事件中，你会发现同一条主线，"Aboukhadijeh说，"攻击者正在将安全工具既视为攻击目标，又视为传播载体。他们攻击的正是那些本应守护供应链安全的产品，然后利用这些产品来窃取凭证，并向下一个受害者渗透。"

Q&A

Q1：Trivy供应链攻击是怎么发生的？

A：攻击者首先入侵了漏洞扫描工具Trivy的GitHub账户，然后通过该账户向Trivy用户推送恶意软件。恶意软件会在被感染机器上搜寻代码仓库令牌、SSH密钥及其他访问凭证。Checkmarx和Bitwarden均通过这一路径遭到波及，两者受到的攻击使用了相同的C2控制端点和核心基础设施。

Q2：Lapsu$是什么组织？和Checkmarx数据泄露有什么关系？

A：Lapsu$是一个勒索软件组织，成员多为青少年，以成功入侵大型企业和事后炫耀闻名。在Checkmarx事件中，供应链攻击组织TeamPCP将窃得的GitHub访问凭证转售给Lapsu$，后者随后将Checkmarx的私有数据公开转储至暗网。泄露数据的时间戳为3月30日，说明攻击者在被发现后仍长期潜伏于系统中。

Q3：为什么安全公司更容易成为供应链攻击的目标？

A：安全公司的产品天然与敏感数据高度关联，且被大量企业客户广泛部署在互联网上，一旦被攻陷，可顺势波及其所有下游用户。攻击者将安全工具同时视为攻击目标和传播载体，通过攻击本应守护供应链的产品，窃取凭证后再向更多受害者扩散。