シスコは、脅威アクターが最近のTrivy サプライチェーン攻撃から盗まれた認証情報を使用して、同社の内部開発環境に侵入し、シスコとその顧客に属するソースコードを盗んだ後、サイバー攻撃を受けました。
匿名を希望する情報筋は、BleepingComputerに対し、シスコのUnified Intelligence Center、CSIRT、およびEOCチームが、最近のTrivy侵害による悪意のある「GitHub Action プラグイン」に関わる侵害を封じ込めたと述べた。
攻撃者は悪意のあるGitHub Actionを使用して、同社のビルドおよび開発環境から認証情報とデータを盗み、開発者やラボのワークステーションを含む数十のデバイスに影響を与えました。
ビデオプレーヤーは現在広告を再生しています。マウスまたはキーボードで5秒でスキップできます
最初の侵害は封じ込められていますが、BleepingComputerによると、同社は後続のLiteLLMおよびCheckmarx サプライチェーン攻撃からの継続的な影響を予想しているという。
侵害の一環として、複数のAWSキーが盗まれたと報告されており、その後、少数のシスコAWSアカウント全体で不正な活動を実行するために使用されました。シスコは影響を受けたシステムを隔離し、それらの再イメージ化を開始し、広範な認証情報のローテーションを実行しています。
BleepingComputerは、インシデント中に300を超えるGitHubリポジトリもクローン化され、AI アシスタント、AI Defense、未リリース製品など、AI対応製品のソースコードを含むことを明らかにしました。
盗まれたリポジトリの一部は、銀行、BPO、および米国政府機関を含む企業顧客に属していると言われています。
複数の情報筋は、シスコのCI/CDおよびAWSアカウント侵害に複数の脅威アクターが関与していると述べており、活動の程度は異なるという。
BleepingComputerは侵害に関する質問でシスコに連絡しましたが、メールへの返信を受け取っていません。
Trivy サプライチェーン攻撃
シスコの侵害は今月のTrivy脆弱性スキャナー サプライチェーン攻撃によって引き起こされました。この攻撃では、脅威アクターがプロジェクトのGitHubパイプラインを侵害し、公式リリースとGitHub Actionsを通じて認証情報を盗むマルウェアを配布しました。
その攻撃により、ツールを使用している組織からCI/CD認証情報を盗むことが可能になり、攻撃者に数千の内部ビルド環境へのアクセス権を与えました。
セキュリティ研究者は、これらのサプライチェーン攻撃を、自分たちの「TeamPCP Cloud Stealer」情報盗聴ツールの使用に基づいてTeamPCP脅威グループにリンクさせました。TeamPCPはGitHub、PyPi、NPM、Dockerなどの開発者向けコードプラットフォームを対象とした一連のサプライチェーン攻撃を実施しています。
このグループはまた、数万のデバイスに影響を与えたLiteLLM PyPIパッケージ、および同じ情報盗聴マルウェアを配布するためのCheckmarx KICSプロジェクトも侵害しました。
