Исходный код Cisco украден в результате атаки на цепочку поставок через Trivy

Что произошло

Cisco подверглась кибератаке, в ходе которой злоумышленники использовали украденные учетные данные из недавней атаки на цепочку поставок Trivy для проникновения в ее внутреннюю среду разработки. Атакующие использовали вредоносный плагин GitHub Action из компрометации Trivy для кражи учетных данных и данных из среды сборки и разработки Cisco.

Последствия и ответные меры

Взлом затронул десятки устройств, включая рабочие станции разработчиков и лабораторные. В ходе инцидента было клонировано более 300 репозиториев GitHub, включая исходный код продуктов на основе ИИ, таких как AI Assistants, AI Defense, и невыпущенных продуктов. Часть украденных репозиториев принадлежит корпоративным клиентам, включая банки, BPO и правительственные агентства США.

Сообщается, что были украдены и использованы несколько ключей AWS для выполнения несанкционированных действий в небольшом количестве учетных записей AWS Cisco. Cisco изолировала затронутые системы, начала их переустановку и проводит масштабную смену учетных данных.

Цепочка атаки и атрибуция

Взлом был вызван атакой на цепочку поставок сканера уязвимостей Trivy в этом месяце, в ходе которой злоумышленники скомпрометировали конвейер GitHub проекта для распространения вредоносного ПО, крадущего учетные данные, через официальные выпуски и GitHub Actions. Эта атака позволила украсть учетные данные CI/CD из организаций, использующих данный инструмент.

Исследователи безопасности связали эти атаки на цепочки поставок с группой угроз TeamPCP на основе их использования инфостилера "TeamPCP Cloud Stealer". TeamPCP проводила серию атак на цепочки поставок, нацеленных на платформы для разработчиков, включая GitHub, PyPi, NPM и Docker. Группа также скомпрометировала пакет LiteLLM PyPI и проект Checkmarx KICS для развертывания того же вредоносного ПО, крадущего информацию.

Текущие проблемы

Хотя первоначальный взлом был локализован, Cisco ожидает продолжения последствий от последующих атак на цепочки поставок LiteLLM и Checkmarx. Несколько источников указали, что в взломах CI/CD и учетных записей AWS Cisco участвовал более чем один злоумышленник, с разной степенью активности.