Cisco подверглась кибератаке после того, как злоумышленники использовали украденные учетные данные, полученные в результате недавней атаки на цепочку поставок Trivy, для проникновения во внутреннюю среду разработки и кражи исходного кода, принадлежащего компании и ее клиентам.
Источник, пожелавший остаться анонимным, сообщил BleepingComputer, что команды Cisco Unified Intelligence Center, CSIRT и EOC локализовали инцидент, связанный со вредоносным «плагином GitHub Action» из недавнего компрометации Trivy.
Злоумышленники использовали вредоносный GitHub Action для кражи учетных данных и данных из среды сборки и разработки компании, затронув десятки устройств, включая некоторые рабочие станции разработчиков и лабораторные установки.
Хотя первоначальное проникновение было локализовано, BleepingComputer стало известно, что компания ожидает продолжения последствий от последующих атак на цепочки поставок LiteLLM и Checkmarx.
В рамках инцидента было украдено несколько ключей AWS, которые впоследствии использовались для несанкционированных действий в небольшом количестве учетных записей AWS Cisco. Cisco изолировала затронутые системы, начала их переформатирование и проводит широкомасштабную ротацию учетных данных.
BleepingComputer выяснил, что в ходе инцидента также было клонировано более 300 репозиториев GitHub, включая исходный код для продуктов на базе ИИ, таких как AI Assistants, AI Defense, а также невыпущенные продукты.
Часть украденных репозиториев предположительно принадлежит корпоративным клиентам, включая банки, BPO и государственные учреждения США.
Несколько источников сообщили BleepingComputer, что в компрометации CI/CD и учетных записей AWS Cisco участвовало более одного злоумышленника с разной степенью активности.
BleepingComputer связалась с Cisco с вопросами относительно инцидента, но не получила ответа на наши электронные письма.
Атака на цепочку поставок Trivy
Проникновение в Cisco было вызвано атакой на цепочку поставок сканера уязвимостей Trivy, произошедшей в этом месяце, в ходе которой злоумышленники скомпрометировали конвейер GitHub проекта для распространения вредоносного ПО для кражи учетных данных через официальные релизы и GitHub Actions.
Эта атака позволила похитить учетные данные CI/CD у организаций, использующих этот инструмент, предоставив злоумышленникам доступ к тысячам внутренних сред сборки.
Исследователи безопасности связали эти атаки на цепочку поставок с группировкой TeamPCP на основании использования их собственного стилера данных под названием «TeamPCP Cloud Stealer». TeamPCP проводит серию атак на цепочки поставок, нацеленных на платформы с кодом разработчиков, такие как GitHub, PyPi, NPM и Docker.
Группа также скомпрометировала пакет LiteLLM PyPI, затронув десятки тысяч устройств, и проект Checkmarx KICS для развертывания того же вредоносного ПО для кражи информации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
