Стартап в сфере найма персонала с использованием ИИ Mercor подтвердил, что он стал «одной из тысяч компаний», пострадавших от атаки на цепочку поставок через LiteLLM, поскольку последствия компрометации Trivy продолжают распространяться.
«Недавно мы обнаружили, что стали одной из тысяч компаний, затронутых атакой на цепочку поставок с участием LiteLLM», — сообщила Mercor во вторник в социальной сети.
«Наша команда безопасности оперативно приняла меры для сдерживания инцидента и его устранения», — говорится в заявлении, в котором также добавляется, что компания проводит «тщательное расследование» с помощью сторонних экспертов по криминалистике и «направит необходимые ресурсы на скорейшее разрешение ситуации».
Признание компании последовало за заявлениями вымогательской группировки Lapsus$, которые позднее распространил исследователь Доминик Альвьери в социальных сетях. Согласно этим заявлениям, группировка похитила 4 ТБ данных, включая 939 ГБ исходного кода Mercor, а также другие данные, у фирмы по подбору персонала в сфере ИИ и предложила продать похищенные файлы тому, кто предложит наивысшую цену.
Хотя в заявлении Mercor не указано, как именно Lapsus$ получила доступ к данным компании после компрометации LiteLLM, на прошлой неделе исследователи безопасности из Wiz сообщили изданию The Register, что «известные группы по вымогательству, такие как Lapsus$», работают с TeamPCP — группировкой, которая, как полагают, несет ответственность за атаки на цепочки поставок Trivy, LiteLLM и другие популярные проекты с открытым исходным кодом.
Mercor не сразу ответила на наши запросы.
После сообщения о том, что TeamPCP также взломала внутреннюю среду разработки Cisco и похитила исходный код с помощью учетных данных, украденных в результате атаки на Trivy, Cisco заявила The Register, что она «осведомлена о проблеме цепочки поставок Trivy, затрагивающей отрасль».
«Мы оперативно начали оценку и, основываясь на нашем расследовании на данный момент, не обнаружили никаких свидетельств воздействия на наших клиентов, продукты или услуги», — сообщил нам представитель. «Мы продолжаем расследование и внимательно следим за этой ситуацией, а также будем следовать нашим отработанным процедурам по решению подобных проблем и соответствующему информированию наших клиентов».
Cisco дважды отказалась ответить на вопрос: были ли скомпрометированы какие-либо системы Cisco злоумышленниками?
Как это начиналось…
TeamPCP скомпрометировала Trivy, сканер уязвимостей с открытым исходным кодом, поддерживаемый Aqua Security, в конце февраля, а месяц спустя внедрила вредоносное ПО для кражи учетных данных в сканер.
Позже, в марте, та же группировка внедрила то же вредоносное ПО в инструмент статического анализа с открытым исходным кодом KICS, поддерживаемый Checkmarx, а также опубликовала вредоносные версии LiteLLM и Telnyx в Python Package Index (PyPI).
После всех этих атак облачная служба безопасности Wiz, принадлежащая Google, сообщила, что ее исследователи «видели признаки в данных Cloud, Code и Runtime, указывающие на то, что учетные данные и секреты, украденные в результате компрометации цепочек поставок, были быстро проверены и использованы для изучения сред жертв и эксфильтрации дополнительных данных».
Таким образом, хотя Mercor является первой нижестоящей компанией, публично подтвердившей, что стала жертвой компрометации, она будет не последней.
Как обстоят дела сейчас
Охотники за угрозами из vx-underground оценивают, что похитители данных эксфильтровали данные и секреты с 500 000 машин, а на прошлой неделе на конференции RSA технический директор Mandiant Consulting Чарльз Кармакал сообщил журналистам, что компания по реагированию на инциденты, принадлежащая Google, знает о «более чем 1000 затронутых SaaS-средах», которые «активно» справляются с каскадным эффектом атак TeamPCP на цепочку поставок.
«Эти более 1000 нижестоящих жертв, вероятно, превратятся в еще 500, еще 1000, может быть, еще 10 000», — сказал Кармакал. «И мы знаем, что эти субъекты в настоящее время сотрудничают с рядом других субъектов».
По данным Unit 42 компании Palo Alto Networks, помимо Lapsus$, TeamPCP также сотрудничает с группами, занимающимися программами-вымогателями CipherForce и Vect, для утечки данных и вымогательства у жертв. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
