En bref

  • Le groupe Lapsus$ revendique le vol du code source, de la base employés et de credentials MongoDB et MySQL chez Checkmarx.
  • L'éditeur israélien spécialisé en sécurité applicative subit sa deuxième compromission majeure en deux mois.
  • Les clients utilisant KICS, Docker Hub officiel ou les extensions VS Code doivent vérifier leurs artefacts récents.

Ce qui s'est passé

Le 25 avril 2026 à 21h11 UTC+3, l'observatoire ThreatMon a détecté l'apparition de Checkmarx sur le portail de fuites de Lapsus$. Le groupe d'extorsion affirme avoir exfiltré une quantité substantielle de matériel sensible : code source de plusieurs produits, base de données employés, clés API et credentials stockés dans des instances MongoDB et MySQL. La revendication intervient quelques jours seulement après la compromission du dépôt Docker Hub officiel des images KICS, l'outil d'analyse infrastructure-as-code phare de l'éditeur.

Selon les premiers éléments publiés par Socket et BleepingComputer, Lapsus$ collabore désormais avec TeamPCP, le collectif déjà responsable de la compromission de deux workflows GitHub Actions de Checkmarx en mars 2026. Cette deuxième vague d'attaque marque donc une escalade : après le supply chain via les outils, c'est l'infrastructure interne de l'éditeur qui aurait été pénétrée. Checkmarx n'a pas confirmé publiquement le vol au moment de la rédaction, mais les échantillons publiés sur le portail dark web suggèrent un accès profond aux référentiels internes.

L'incident est d'autant plus sensible que Checkmarx fournit ses solutions à des grandes entreprises et institutions financières du monde entier. La fuite de credentials MongoDB et MySQL ouvre la porte à des mouvements latéraux vers les infrastructures clients, notamment ceux qui utilisent les SaaS Checkmarx One ou les extensions VS Code récemment modifiées.

Pourquoi c'est important

Cette compromission illustre le paradoxe de la chaîne de confiance dans le DevSecOps : un éditeur dont la mission est de scanner du code à la recherche de vulnérabilités devient lui-même un vecteur de propagation. Les images Docker KICS distribuées entre le 22 avril 14h17 UTC et 15h41 UTC contenaient déjà du code malveillant, et plusieurs équipes les ont intégrées à leur pipeline CI/CD avant la détection. Le risque réel pour les clients dépasse donc largement la simple fuite de données interne.

Pour les entreprises françaises soumises à NIS2 ou DORA, l'usage d'un fournisseur SCA (Software Composition Analysis) compromis peut déclencher des obligations de notification dans les 24 à 72 heures. Les responsables sécurité doivent immédiatement cartographier l'exposition à Checkmarx One, KICS et aux extensions VS Code Checkmarx, puis bloquer les versions suspectes en attendant une communication officielle de l'éditeur.

Ce qu'il faut retenir

  • Lapsus$ revendique le vol du code source Checkmarx, de la base employés, de clés API et de credentials MongoDB et MySQL.
  • L'attaque s'inscrit dans une campagne plus large incluant la compromission de KICS sur Docker Hub et des extensions VS Code Open VSX.
  • Les équipes sécurité doivent geler les déploiements Checkmarx jusqu'à clarification, rotater toutes les clés API et auditer les artefacts produits depuis le 22 avril.

Comment vérifier si nos pipelines ont consommé une image KICS compromise ?

Inspectez les logs de votre registre privé et les hash sha256 des images checkmarx/kics tirées entre le 22 avril 14h17 et 15h41 UTC. Comparez-les aux empreintes publiées par Socket et Checkmarx, et purgez les caches Docker, GitHub Actions et runners auto-hébergés qui auraient pu mettre l'image en cache.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact