A Cisco sofreu um ataque cibernético depois que os agentes de ameaças usaram credenciais roubadas do recente ataque à cadeia de suprimentos Trivy para violar seu ambiente de desenvolvimento interno e roubar código-fonte pertencente à empresa e seus clientes.
Uma fonte, que pediu para permanecer anônima, disse ao BleepingComputer que as equipes Unified Intelligence Center, CSIRT e EOC da Cisco continham a violação envolvendo um “plugin GitHub Action” malicioso do recente compromisso Trivy.
Os invasores usaram o GitHub Action malicioso para roubar credenciais e dados do ambiente de construção e desenvolvimento da empresa, impactando dezenas de dispositivos, incluindo algumas estações de trabalho de desenvolvedores e laboratórios.
Embora a violação inicial tenha sido contida, o BleepingComputer foi informado de que a empresa espera consequências contínuas dos ataques subsequentes à cadeia de suprimentos LiteLLM e Checkmarx.
Como parte da violação, várias chaves da AWS foram supostamente roubadas e posteriormente usadas para realizar atividades não autorizadas em um pequeno número de contas da Cisco AWS. A Cisco isolou os sistemas afetados, começou a recriá-los e está realizando uma rotação de credenciais em larga escala.
BleepingComputer descobriu que mais de 300 repositórios GitHub também foram clonados durante o incidente, incluindo código-fonte para seus produtos alimentados por IA, como AI Assistants, AI Defense e produtos não lançados.
Uma parte dos repositórios roubados supostamente pertence a clientes corporativos, incluindo bancos, BPOs e agências governamentais dos EUA.
Várias fontes disseram ao BleepingComputer que mais de um ator de ameaça estava envolvido nas violações de contas Cisco CI/CD e AWS, com vários graus de atividade.
BleepingComputer contatou a Cisco com perguntas sobre a violação, mas não recebeu resposta aos nossos e-mails.
O ataque à cadeia de suprimentos de Trivy
A violação da Cisco foi causada pelo ataque à cadeia de suprimentos do scanner de vulnerabilidade Trivy deste mês, no qual os agentes da ameaça comprometeram o pipeline do GitHub do projeto para distribuir malware de roubo de credenciais por meio de lançamentos oficiais e ações do GitHub.
Esse ataque permitiu o roubo de credenciais de CI/CD de organizações que usam a ferramenta, dando aos invasores acesso a milhares de ambientes de construção internos.
Pesquisadores de segurança vincularam esses ataques à cadeia de suprimentos ao grupo de ameaças TeamPCP com base no uso de seu infostealer autointitulado “TeamPCP Cloud Stealer”. O TeamPCP tem conduzido uma série de ataques à cadeia de suprimentos visando plataformas de código de desenvolvedor, como GitHub, PyPi, NPM e Docker.
O grupo também comprometeu o pacote LiteLLM PyPI, que impactou dezenas de milhares de dispositivos, e o Checkmarx KICS projeto para implantar o mesmo malware de roubo de informações.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa um sem o outro.
Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.