Cisco-Quellcode durch Trivy-Lieferkettenangriff gestohlen
Was geschah
Cisco erlitt einen Cyberangriff, bei dem Bedrohungsakteure gestohlene Zugangsdaten aus dem kürzlichen Trivy-Lieferkettenangriff nutzten, um in die interne Entwicklungsumgebung einzudringen. Die Angreifer verwendeten ein schädliches GitHub-Action-Plugin aus der Trivy-Kompromittierung, um Zugangsdaten und Daten aus Ciscos Build- und Entwicklungsumgebung zu stehlen.
Auswirkungen und Reaktion
Der Angriff betraf Dutzende von Geräten, einschließlich Entwickler- und Lab-Arbeitsstationen. Während des Vorfalls wurden mehr als 300 GitHub-Repositories geklont, darunter Quellcode für KI-gestützte Produkte wie KI-Assistenten, KI-Verteidigung und unveröffentlichte Produkte. Ein Teil der gestohlenen Repositories gehört Unternehmenskunden, einschließlich Banken, BPOs und US-Regierungsbehörden.
Berichten zufolge wurden mehrere AWS-Schlüssel gestohlen und für unbefugte Aktivitäten in einer kleinen Anzahl von Cisco-AWS-Konten verwendet. Cisco hat betroffene Systeme isoliert, mit deren Neuabbildung begonnen und führt eine umfangreiche Zugangsdatenrotation durch.
Angriffskette und Zuschreibung
Der Angriff wurde durch den Lieferkettenangriff auf den Trivy-Schwachstellenscanner in diesem Monat verursacht, bei dem Bedrohungsakteure die GitHub-Pipeline des Projekts kompromittierten, um Zugangsdaten-stehlende Malware über offizielle Releases und GitHub Actions zu verbreiten. Dieser Angriff ermöglichte den Diebstahl von CI/CD-Zugangsdaten von Organisationen, die das Tool nutzen.
Sicherheitsforscher verknüpften diese Lieferkettenangriffe mit der Bedrohungsgruppe TeamPCP basierend auf deren Verwendung des "TeamPCP Cloud Stealer"-Infostealers. TeamPCP hat eine Reihe von Lieferkettenangriffen auf Entwickler-Code-Plattformen durchgeführt, einschließlich GitHub, PyPi, NPM und Docker. Die Gruppe kompromittierte auch das LiteLLM-PyPI-Paket und das Checkmarx-KICS-Projekt, um dieselbe Informations-stehlende Malware einzusetzen.
Laufende Bedenken
Obwohl der anfängliche Angriff eingedämmt wurde, erwartet Cisco anhaltende Auswirkungen durch die nachfolgenden LiteLLM- und Checkmarx-Lieferkettenangriffe. Mehrere Quellen deuteten darauf hin, dass mehr als ein Bedrohungsakteur an den Cisco-CI/CD- und AWS-Kontoangriffen beteiligt war, mit unterschiedlichem Aktivitätsgrad.
📖 Lesen Sie die vollständige Quelle: HN AI Agents
👀 Siehe auch
Anthropic enthüllt industrielle Claude-KI-Datenextraktion durch chinesische Labore
Anthropic bestätigte, dass chinesische KI-Labore über 24.000 betrügerische Konten nutzten, um 16 Millionen Austausche von Claude abzugreifen, um Sicherheitsvorkehrungen und Logikstrukturen für militärische und Überwachungssysteme zu extrahieren.
LLM-gestützter Exploit: Anthropics Mythos-Vorschau half beim Bau des ersten öffentlichen macOS-Kernel-Exploits auf Apple M5 in fünf Tagen
Mit Anthropics Mythos Preview baute die Sicherheitsfirma Calif in fünf Tagen den ersten öffentlichen macOS-Kernel-Speicherkorruptions-Exploit auf Apples M5-Silizium – und durchbrach damit die MIE-Hardwaresicherheit, deren Entwicklung Apple fünf Jahre kostete.
Sicheres Selbsthosting von OpenClaw auf einem VPS mit Tailscale und mehr
Richten Sie OpenClaw sicher auf einem VPS mit Tailscale, fail2ban, UFW und mehr ein, um öffentliche Exposition zu vermeiden und die Verteidigung zu stärken.
820 bösartige Fähigkeiten im ClawHub-Marktplatz von OpenClaw gefunden
Sicherheitsforscher identifizierten 820 Skills im OpenClaw ClawHub-Marktplatz, die bestätigte Malware enthalten, darunter Keylogger, Datenexfiltrierungs-Skripte und versteckte Shell-Befehle. Diese Skills können Code ausführen und mit der lokalen Umgebung interagieren, was Sicherheitsrisiken in der Lieferkette schafft.