Атака на цепочку поставок: как взлом Trivy ударил по Checkmarx и Bitwarden
Группа TeamPCP использовала уязвимость в инструменте безопасности, чтобы добраться до клиентов двух крупных вендоров — и, возможно, это только начало каскада.

Содержание
Атака на цепочку поставок программного обеспечения, запущенная ещё в марте 2023 года, дала о себе знать спустя три года: под удар попали сразу два крупных игрока в сфере информационной безопасности — Checkmarx и Bitwarden. Инцидент наглядно показывает, как одна точка компрометации способна запустить цепную реакцию, затрагивающую десятки организаций по всему миру.
Как развивалась атака
Исходной точкой стал инструмент Trivy — популярный сканер уязвимостей с открытым исходным кодом. Именно через него группировка TeamPCP получила первоначальный доступ 23 марта 2023 года. Trivy широко используется в DevSecOps-пайплайнах: он интегрируется в CI/CD-системы и работает с привилегированным доступом к репозиториям и реестрам контейнеров — что делает его особенно привлекательной мишенью.
По данным компании Socket, занимавшейся расследованием инцидента, скомпрометированная инфраструктура Trivy впоследствии была использована для атак на обоих вендоров. Связь между двумя взломами подтверждается техническими артефактами: вредоносная нагрузка в обоих случаях обращалась к одному и тому же C2-серверу (command-and-control) и использовала идентичную базовую инфраструктуру.
Checkmarx подтвердил факт утечки данных из своих GitHub-репозиториев, уточнив, что именно первоначальная атака на Trivy открыла злоумышленникам доступ к ним. Компания не раскрыла, какие именно данные оказались в руках атакующих.
Bitwarden зафиксировал более конкретный по времени инцидент: 22 апреля 2026 года с 17:57 до 19:30 по восточному времени через npm-пакет @bitwarden/[email protected] распространялась вредоносная версия CLI-клиента менеджера паролей. Окно заражения составило менее двух часов, однако за это время пакет мог быть установлен в автоматизированных пайплайнах множества организаций.
TeamPCP, Lapsu$ и логика access-broker атак
TeamPCP — одна из наиболее результативных группировок в категории так называемых access brokers: хакеров, которые не занимаются монетизацией взлома напрямую, а похищают учётные данные и продают доступ другим преступным группам. Их бизнес-модель строится на систематическом поиске инструментов с привилегированным доступом — DevOps-утилит, сканеров безопасности, агентов мониторинга.
В случае с Checkmarx, по имеющимся данным, TeamPCP продала похищенные учётные данные группировке Lapsu$ — ransomware-объединению, состоящему преимущественно из подростков. Lapsu$ приобрела известность не только благодаря успешным взломам крупных корпораций, но и демонстративным поведением после атак: публичными насмешками над жертвами и хвастовством в Telegram-каналах. Среди их прошлых жертв — Microsoft, Nvidia, Okta и Rockstar Games.
ЦЕО Socket Феросс Абукхадиджех описал происходящее как системную тенденцию:
««Атакующие рассматривают инструменты безопасности одновременно как цель и как механизм доставки. Они взламывают продукты, которые должны защищать цепочку поставок, а затем используют эти же продукты для кражи учётных данных и перехода к следующей жертве.»»
Эта логика объясняет, почему security-вендоры становятся приоритетными мишенями: их продукты по определению имеют широкий доступ к чувствительным данным клиентов и развёрнуты в тысячах организаций одновременно. Взломав одного поставщика, атакующий получает потенциальный вектор ко всей его клиентской базе.
Каскадный эффект и риски для downstream-клиентов
Оба инцидента демонстрируют классический каскадный эффект supply chain атак. Компрометация Checkmarx и Bitwarden — это не конечная точка, а промежуточная. Следующий круг жертв — их корпоративные клиенты, партнёры и все, кто использовал затронутые версии продуктов в своих пайплайнах.
Для IT-команд, работающих с этими инструментами, первоочередные действия очевидны: аудит зависимостей npm на предмет версии @bitwarden/[email protected], проверка логов на обращения к подозрительным C2-адресам в период с марта 2023 года, а также ротация учётных данных, которые могли быть доступны через скомпрометированные среды.
Для белорусских IT-компаний, работающих в периметре ПВТ и использующих DevSecOps-инструментарий в продуктовой разработке, этот кейс — напоминание о необходимости верификации целостности пакетов через npm audit и lockfile-политики, а также о важности мониторинга транзитивных зависимостей. Bitwarden CLI активно используется в корпоративных средах для управления секретами в CI/CD — и именно такие интеграции оказываются в зоне наибольшего риска при подобных атаках.
Расследование продолжается. Socket обещает опубликовать технические индикаторы компрометации (IoC), которые позволят организациям самостоятельно проверить свои среды на следы активности TeamPCP.
— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.








