A Checkmarx confirmou que dados ligados à empresa foram publicados na dark web como desdobramento do ataque à cadeia de suprimentos identificado em 23 de março de 2026.
Segundo a companhia, as evidências atuais indicam que o material vazado se originou de seu repositório no GitHub e que o acesso a esse ambiente ocorreu a partir do incidente inicial.
A empresa ressaltou que esse repositório é mantido separadamente do ambiente de produção voltado a clientes. Também afirmou que não armazena dados de clientes nesse espaço, enquanto a apuração forense segue em andamento para verificar a natureza e o alcance exatos do conteúdo publicado.
Como parte da resposta ao incidente, a Checkmarx informou que bloqueou o acesso ao repositório afetado. A companhia acrescentou que notificará clientes e demais partes relevantes imediatamente caso determine que alguma informação de clientes tenha sido envolvida no episódio.
O caso ganhou tração após uma publicação do Dark Web Informer indicando que o grupo LAPSUS$ listou três vítimas em seu site de vazamentos, incluindo a própria Checkmarx. De acordo com essa listagem, o material exposto incluiria código-fonte, base de dados de funcionários, chaves de API e credenciais de MongoDB e MySQL.
O incidente atual se conecta a uma ofensiva mais ampla contra a cadeia de desenvolvimento da empresa. Segundo o relato, o ataque anterior adulterou dois workflows do GitHub Actions e dois plugins distribuídos via Open VSX para empurrar um stealer capaz de coletar uma ampla variedade de segredos de desenvolvedores. A responsabilidade foi atribuída ao ator conhecido como TeamPCP.
