Checkmarx : LAPSUS$ publie 96 Go de code et de credentials

Ce qui s'est passé

Checkmarx, éditeur israélo-américain spécialisé dans le test de sécurité applicative (SAST, SCA, container security), a confirmé le 28 avril 2026 que le collectif LAPSUS$ a publié sur son portail d'extorsion une archive de 96 Go provenant de l'un de ses dépôts GitHub privés. Selon le communiqué officiel et les analyses publiées par BleepingComputer, The Hacker News et Cyber Kendra, l'archive contient du code source, une base de données interne d'employés, des clés API, des secrets de signature, ainsi que des credentials MongoDB et MySQL en clair pour des environnements de test et de pré-production.

L'origine de la compromission remonte à une attaque de chaîne d'approvisionnement détectée le 23 mars 2026. Selon la chronologie publiée par The Register et SC Media, des images Docker malveillantes et des extensions VSCode/Open VSX se faisant passer pour le scanner de sécurité KICS de Checkmarx ont été déposées sur Open VSX et Docker Hub à partir du 22 avril. Ces packages exfiltraient identifiants, jetons d'accès et fichiers de configuration vers une infrastructure contrôlée par les attaquants, en s'appuyant sur des credentials volés en amont via le « Trivy supply chain incident » attribué au groupe TeamPCP.

D'après les éléments publiés par LAPSUS$ et vérifiés par plusieurs chercheurs indépendants, le pack de 96 Go est accessible à la fois via leur portail Tor et via plusieurs miroirs clearnet, dont des dépôts éphémères hébergés chez des fournisseurs européens. La structure du dossier suggère qu'il s'agit du contenu intégral du dépôt GitHub privé de Checkmarx, sauvegardé via un clone récursif. Les commits remontent jusqu'à 2018, exposant l'historique complet des projets internes, y compris des branches expérimentales et des outils non publiquement diffusés.

Checkmarx insiste sur le fait que le dépôt compromis est isolé de l'environnement de production de ses clients : aucune donnée client, aucun résultat de scan, aucune base SCA n'y est stockée. Le périmètre exposé est strictement interne, ce qui limite le risque immédiat pour les utilisateurs de la plateforme. La société a néanmoins révoqué l'ensemble des clés présentes dans l'archive et déployé une rotation forcée des credentials liés à l'infrastructure CI/CD identifiée comme à risque.

L'enquête forensique, conduite avec un cabinet externe non nommé mais que plusieurs sources rapprochent de Mandiant, est en cours. Selon Cybersecurity Insiders, les attaquants auraient maintenu un accès dormant au dépôt pendant près de cinq semaines, en tirant parti de tokens GitHub Personal Access Token aux droits trop larges, sans expiration courte. Le mode opératoire correspond à la signature classique de LAPSUS$ post-2022 : ingénierie sociale initiale, vol de tokens, escalade par chaining sur des dépôts internes mal cloisonnés, puis exfiltration massive via clone Git.

L'affaire intervient dans un contexte de recrudescence des compromissions touchant l'écosystème de l'outillage sécurité. The Register relie l'incident Checkmarx à une campagne plus large visant les éditeurs DevSecOps et les outils CI : Trivy, KICS, mais aussi plusieurs extensions VSCode populaires utilisées par des équipes sécurité, ont été identifiés comme vecteurs ou cibles. Selon le CERT-FR et l'ENISA, ce ciblage privilégié s'explique par le coefficient multiplicateur des éditeurs de sécurité : compromettre un outil de scan donne potentiellement accès à des centaines de pipelines CI clients.

Checkmarx a publié plusieurs notes de sécurité depuis le 24 avril, recommandant à ses clients de vérifier la provenance exacte des images Docker KICS utilisées dans leurs pipelines, de supprimer toute extension VSCode KICS installée après le 22 avril 2026, de faire tourner les credentials AWS/GCP/Azure exposés dans leurs runners, et de scanner leurs environnements à la recherche d'indicateurs de compromission listés dans le bulletin officiel. Le client public le plus visible affecté à ce jour reste Microsoft Azure DevOps, qui a confirmé avoir purgé le marketplace de toute extension KICS suspecte.

Le montant de la rançon initialement demandée par LAPSUS$ n'a pas été divulgué. Le collectif, réorganisé après l'arrestation en 2022-2023 de plusieurs de ses membres présumés au Royaume-Uni et au Brésil, a publiquement déclaré avoir agi à des fins « de visibilité » plutôt que purement financières, conformément à son ADN historique. Les motivations exactes — notoriété, vente de zero-days dérivés du code source, ou pression sur le marché — restent toutefois sujettes à débat dans la communauté threat intelligence.

Pourquoi c'est important

L'incident Checkmarx confirme un scénario que les experts redoutent depuis des années : l'utilisation des éditeurs de sécurité applicative comme tête de pont vers les pipelines CI/CD de leurs clients. Là où une compromission classique cible une application métier isolée, le piégeage d'un outil de scan ou d'une extension IDE permet à l'attaquant de rebondir potentiellement sur des dizaines de milliers de runners et donc sur les secrets, artefacts et environnements production de toutes les organisations utilisatrices.

Le parallèle avec les incidents SolarWinds (2020), CodeCov (2021) ou MOVEit (2023) est inévitable, mais le ciblage spécifique d'outils SAST et SCA marque un palier. Les RSSI doivent désormais traiter leurs scanners de sécurité comme des composants critiques de production, soumis à la même politique de signature, de pinning et de revue que n'importe quelle dépendance directe. Cela suppose de figer les versions, de vérifier les hash SHA-256 publiés sur les canaux officiels du vendor, et d'interdire les téléchargements automatiques d'extensions IDE par les développeurs.

Pour les équipes DevSecOps, l'affaire ouvre aussi une question contractuelle. Les clauses de responsabilité standard des éditeurs de sécurité limitent souvent leur exposition financière à 12 mois d'abonnement. Or, une compromission de pipeline propagée via Checkmarx pourrait coûter plusieurs millions à un client en investigation, en remédiation et en pertes opérationnelles. Plusieurs grands comptes européens, contactés par LeMagIT, indiquent vouloir renégocier ces clauses dans leurs renouvellements 2026, en s'appuyant sur les obligations de DORA et de NIS2 vis-à-vis des prestataires critiques.

Enfin, l'incident relance le débat sur la responsabilité de GitHub et des marketplaces tiers (Open VSX, Docker Hub, JetBrains Marketplace) dans le filtrage des packages malveillants. Microsoft, propriétaire de GitHub et VSCode, a annoncé en avril 2026 le déploiement progressif d'une signature obligatoire pour les extensions Marketplace, mais le processus reste partiel et n'empêche pas la publication d'extensions piégées sur Open VSX, davantage utilisé par les éditeurs concurrents. Tant que ces écosystèmes resteront ouverts par défaut, les LAPSUS$, ShinyHunters et autres groupes opportunistes y trouveront un terrain de jeu privilégié.

Ce qu'il faut retenir

• 96 Go de données internes Checkmarx — code, RH, clés API, credentials DB — ont été publiés par LAPSUS$ sur le clearnet et sur Tor.
• Le vecteur d'entrée est une attaque de chaîne d'approvisionnement remontant au 23 mars, prolongée par des images Docker et extensions VSCode KICS piégées.
• Auditer les pipelines CI utilisant KICS, vérifier la provenance des images, et figer les versions des extensions IDE sont des actions à mener immédiatement.