Code source de Cisco volé via une attaque de chaîne d'approvisionnement Trivy

Ce qui s'est passé
Cisco a subi une cyberattaque où des acteurs malveillants ont utilisé des identifiants volés lors de la récente attaque de la chaîne d'approvisionnement Trivy pour pénétrer son environnement de développement interne. Les attaquants ont utilisé un plugin GitHub Action malveillant provenant du compromis de Trivy pour voler des identifiants et des données de l'environnement de construction et de développement de Cisco.
Impact et réponse
La violation a touché des dizaines d'appareils, y compris des postes de travail de développeurs et de laboratoire. Plus de 300 dépôts GitHub ont été clonés pendant l'incident, y compris le code source de produits alimentés par l'IA tels que les Assistants IA, la Défense IA et des produits non publiés. Une partie des dépôts volés appartient à des clients d'entreprise, y compris des banques, des BPO et des agences gouvernementales américaines.
Plusieurs clés AWS auraient été volées et utilisées pour effectuer des activités non autorisées sur un petit nombre de comptes AWS de Cisco. Cisco a isolé les systèmes affectés, a commencé à les réimager et effectue une rotation d'identifiants à grande échelle.
Chaîne d'attaque et attribution
La violation a été causée par l'attaque de la chaîne d'approvisionnement du scanner de vulnérabilités Trivy de ce mois-ci, où des acteurs malveillants ont compromis le pipeline GitHub du projet pour distribuer un logiciel malveillant volant des identifiants via des versions officielles et des GitHub Actions. Cette attaque a permis le vol d'identifiants CI/CD d'organisations utilisant l'outil.
Des chercheurs en sécurité ont lié ces attaques de la chaîne d'approvisionnement au groupe de menace TeamPCP sur la base de leur utilisation du logiciel d'extraction d'informations "TeamPCP Cloud Stealer". TeamPCP mène une série d'attaques de la chaîne d'approvisionnement ciblant des plateformes de code de développeurs, y compris GitHub, PyPi, NPM et Docker. Le groupe a également compromis le package PyPI LiteLLM et le projet Checkmarx KICS pour déployer le même logiciel malveillant d'extraction d'informations.
Préoccupations en cours
Bien que la violation initiale ait été contenue, Cisco s'attend à des répercussions continues des attaques de la chaîne d'approvisionnement LiteLLM et Checkmarx qui ont suivi. Plusieurs sources ont indiqué que plus d'un acteur de menace était impliqué dans les violations des comptes CI/CD et AWS de Cisco, avec des degrés d'activité variables.
📖 Lire la source complète : HN AI Agents
👀 See Also

Présentation de SkillFence : Le nouveau moniteur d'exécution qui surveille ce que font réellement les compétences.
SkillFence propose une avancée majeure dans la surveillance des actions des agents d'IA, répondant au besoin de transparence et de sécurité dans les environnements pilotés par l'IA. Découvrez comment cet outil innovant peut renforcer le contrôle sur les processus autonomes.

Outils open source de Microsoft piratés : un malware voleur de mots de passe frappe les dépôts de développeurs IA
Des pirates ont injecté un malware voleur de mots de passe dans au moins 70 dépôts GitHub de Microsoft, ciblant les développeurs IA utilisant Claude Code, Gemini CLI et VS Code. Il s'agit d'une re-compromission du projet Durable Task.

EctoClaw : Outil de Sécurité pour Agents OpenClaw avec Accès Terminal
EctoClaw est un outil de sécurité gratuit et open source pour OpenClaw qui vérifie chaque action quatre fois avant exécution, exécute les actions dans un bac à sable robuste et enregistre tout avec preuve.

820 compétences malveillantes découvertes sur le marché ClawHub d'OpenClaw
Des chercheurs en sécurité ont identifié 820 compétences sur la place de marché ClawHub d'OpenClaw contenant des logiciels malveillants confirmés, notamment des enregistreurs de frappe, des scripts d'exfiltration de données et des commandes shell cachées. Ces compétences peuvent exécuter du code et interagir avec l'environnement local, créant des risques de sécurité dans la chaîne d'approvisionnement.