Cisco 소스 코드, Trivy 공급망 공격을 통해 유출

무슨 일이 있었나

Cisco는 사이버 공격을 당해 위협 행위자들이 최근 Trivy 공급망 공격에서 탈취한 자격 증명을 사용해 내부 개발 환경을 침해했습니다. 공격자들은 Trivy 침해 사고에서 유래한 악성 GitHub Action 플러그인을 사용해 Cisco의 빌드 및 개발 환경에서 자격 증명과 데이터를 탈취했습니다.

영향 및 대응

이 침해 사고는 개발자 및 실험실 워크스테이션을 포함한 수십 대의 장치에 영향을 미쳤습니다. 사건 중 300개 이상의 GitHub 저장소가 복제되었으며, 여기에는 AI Assistants, AI Defense와 같은 AI 기반 제품 및 출시되지 않은 제품의 소스 코드가 포함되어 있습니다. 유출된 저장소 중 일부는 은행, BPO, 미국 정부 기관을 포함한 기업 고객 소유입니다.

여러 AWS 키가 탈취되어 소수의 Cisco AWS 계정에서 무단 활동을 수행하는 데 사용된 것으로 알려졌습니다. Cisco는 영향을 받은 시스템을 격리하고 재이미징을 시작했으며, 대규모 자격 증명 교체 작업을 수행하고 있습니다.

공격 경로 및 귀속

이 침해는 이번 달 발생한 Trivy 취약점 스캐너 공급망 공격으로 인해 발생했으며, 위협 행위자들이 해당 프로젝트의 GitHub 파이프라인을 손상시켜 공식 릴리스와 GitHub Actions를 통해 자격 증명 탈취 악성코드를 유포했습니다. 이 공격으로 해당 도구를 사용하는 조직들의 CI/CD 자격 증명 탈취가 가능해졌습니다.

보안 연구원들은 이러한 공급망 공격을 'TeamPCP Cloud Stealer' 정보 탈취 도구 사용을 근거로 TeamPCP 위협 그룹과 연결지었습니다. TeamPCP는 GitHub, PyPi, NPM, Docker를 포함한 개발자 코드 플랫폼을 대상으로 한 일련의 공급망 공격을 수행해 왔습니다. 해당 그룹은 동일한 정보 탈취 악성코드를 배포하기 위해 LiteLLM PyPI 패키지와 Checkmarx KICS 프로젝트도 손상시켰습니다.

지속적인 우려

초기 침해는 차단되었지만, Cisco는 후속 LiteLLM 및 Checkmarx 공급망 공격으로 인한 추가 피해가 계속될 것으로 예상하고 있습니다. 여러 소식통은 Cisco CI/CD 및 AWS 계정 침해에 둘 이상의 위협 행위자가 다양한 수준의 활동을 하며 관여했다고 밝혔습니다.