Filtración en cadena de suministro impacta a Checkmarx: exponen datos de repositorios y secretos

La filtración en cadena de suministro en Checkmarx se suma a una campaña activa que está apuntando de forma directa a herramientas de seguridad y entornos de desarrollo: la compañía de Software Security Testing confirmó que datos publicados online parecen proceder de uno de sus repositorios en GitHub, después de que el grupo de extorsión Lapsus$ asegurara haber sustraído source code, secretos y otra información sensible. La relevancia es inmediata: cuando el objetivo son scanners, GitHub Actions, plugins y CLIs, el impacto potencial se multiplica por su presencia “overprivileged” dentro de pipelines CI/CD.

En un comunicado de estado, Checkmarx indicó que la investigación sigue en curso y que está trabajando para verificar “la naturaleza y el alcance” del material. No obstante, la evidencia disponible sugiere que el origen está en un repositorio de GitHub y que el acceso se habría facilitado a partir del incidente de supply chain del 23 de marzo de 2026.

Qué se sabe de la filtración en cadena de suministro en Checkmarx

Según la empresa, el acceso al repositorio afectado ya fue restringido mientras avanza el análisis forense. Checkmarx también señaló que, si se confirma que se publicó información de clientes, notificará “de inmediato” a las partes relevantes. Por el momento, no ha validado públicamente el listado detallado de supuestos datos robados difundido por terceros.

En paralelo, Lapsus$ añadió a Checkmarx a su sitio de filtraciones y afirmó disponer de información sensible como API keys y credenciales asociadas a bases de datos (por ejemplo MongoDB y MySQL), además de detalles de empleados. Estas afirmaciones, típicas de operaciones de extorsión, elevan la presión sobre el proveedor y sobre cualquier organización que integre su tooling en flujos de trabajo automatizados.

De Trivy a KICS: el punto de entrada y la propagación

La campaña a la que se vincula este episodio se remonta a un compromiso previo de herramientas open source. En ese encadenamiento, actores maliciosos aprovecharon secretos de CI/CD obtenidos tras comprometer Trivy (scanner de vulnerabilidades mantenido por Aqua Security) y, posteriormente, inyectaron malware orientado al robo de credenciales. En esta secuencia también aparecen otros proyectos y piezas de tooling usadas en developer environments.

Dentro de ese efecto dominó, Checkmarx detalló previamente que el incidente afectó a componentes de su ecosistema de developer tooling, incluyendo GitHub Actions y plugins distribuidos vía Open VSX. Este vector es especialmente crítico porque acciones y extensiones se ejecutan con permisos elevados o se instalan de forma masiva, convirtiéndose en “choke points” para robar tokens, credenciales cloud y secretos de automatización.

Por qué la filtración en cadena de suministro en Checkmarx eleva el riesgo sistémico

Investigadores de supply-chain security han advertido que, cuando se compromete una herramienta que escanea repositorios, analiza Infrastructure as Code o gestiona secretos, el adversario no obtiene solo acceso a un proveedor: obtiene opciones para moverse hacia entornos downstream. En este caso, el riesgo se amplifica por el tipo de activos implicados (repositorios, workflows, plugins) y por la posición que ocupan en pipelines CI/CD y entornos de desarrollo.

Además, la campaña se describe como “explícitamente” enfocada en el ecosistema de seguridad open source y la infraestructura de desarrollo, un patrón que encaja con una tendencia más amplia: atacar lo que los equipos consideran confiable por defecto (scanners, password managers, herramientas de análisis) para maximizar impacto y alcance.

Referencias y fuentes de alta autoridad

• Checkmarx: Security Update (26 de abril)
• Socket: análisis del compromiso de supply chain vinculado a Checkmarx
• GitHub (plataforma afectada a nivel de repositorios y workflows)
• Docker (contexto de distribución de imágenes en supply chain)

A falta de un informe final, la filtración en cadena de suministro en Checkmarx refuerza una señal que ya preocupa a CISO y responsables de plataforma: las herramientas de seguridad y DevOps, por su nivel de privilegio y ubicuidad, se han convertido en objetivos prioritarios dentro de campañas de compromiso de la cadena de suministro.