CiscoのソースコードがTrivyサプライチェーン攻撃により盗まれる

何が起きたか

シスコは、最近のTrivyサプライチェーン攻撃から盗まれた認証情報を使用して脅威行為者が内部開発環境を侵害したサイバー攻撃を受けました。攻撃者はTrivy侵害からの悪意のあるGitHub Actionプラグインを使用して、シスコのビルドおよび開発環境から認証情報とデータを盗みました。

影響と対応

この侵害は、開発者やラボのワークステーションを含む数十台のデバイスに影響を与えました。インシデント中に300以上のGitHubリポジトリが複製され、AIアシスタント、AIディフェンス、未公開製品などのAI搭載製品のソースコードが含まれていました。盗まれたリポジトリの一部は、銀行、BPO、米国政府機関などの企業顧客に属しています。

複数のAWSキーが盗まれ、少数のシスコAWSアカウントで不正な活動を行うために使用されたと報告されています。シスコは影響を受けたシステムを隔離し、再イメージングを開始し、大規模な認証情報のローテーションを実施しています。

攻撃連鎖と帰属

この侵害は、今月のTrivy脆弱性スキャナーのサプライチェーン攻撃によって引き起こされました。この攻撃では、脅威行為者がプロジェクトのGitHubパイプラインを侵害し、公式リリースとGitHub Actionsを通じて認証情報を盗むマルウェアを配布しました。その攻撃により、このツールを使用する組織からCI/CD認証情報が盗まれました。

セキュリティ研究者は、これらのサプライチェーン攻撃を「TeamPCP Cloud Stealer」情報窃取ツールの使用に基づいてTeamPCP脅威グループに関連付けました。TeamPCPは、GitHub、PyPi、NPM、Dockerなどの開発者コードプラットフォームを標的とした一連のサプライチェーン攻撃を実施しています。このグループはまた、LiteLLM PyPIパッケージとCheckmarx KICSプロジェクトを侵害して同じ情報窃取マルウェアを展開しました。

継続的な懸念

初期の侵害は封じ込められましたが、シスコは後続のLiteLLMおよびCheckmarxサプライチェーン攻撃からの影響が続くと予想しています。複数の情報源は、シスコのCI/CDおよびAWSアカウント侵害には複数の脅威行為者が関与しており、活動の程度は様々であると示しています。