悪名高いハッキング集団ShinyHuntersは、Ciscoの内部開発ネットワークへの大規模な侵害の責任を主張しており、機密ソースコード、AWSの認証情報、プライベートGitHubリポジトリを盗み、Salesforce、Aura、および複数の米国政府機関への曝露の可能性があると主張されています。
侵入は、広く使用されているオープンソースの脆弱性スキャナーであるTrivyを標的としたサプライチェーン攻撃から発生しました。
脅威行為者は、Trivy侵害に関連した悪意のあるGitHub Actionプラグインをデプロイし、開発者の認証情報を静かに収集しました。
これらの盗まれた認証情報を使用して、攻撃者はCiscoの認証制御をバイパスし、その内部ビルド環境への不正アクセスを得ました。
内部に侵入すると、攻撃者は実験室のワークステーションや開発者のコンピュータを含む数十のデバイスを侵害し、Ciscoの最も機密性の高い企業システムへの直接的な足がかりを与えました。
Ciscoの内部セキュリティユニット、Unified Intelligence Center、CSIRT、およびEOCは迅速に対応しました。同社は侵害されたシステムを隔離し、影響を受けたマシンをワイピングして再インストールを開始し、攻撃者をロックアウトするための大規模な従業員認証情報リセットを実施しました。
これらの迅速な封じ込めステップにもかかわらず、Ciscoはまだ侵害に関する公式声明を発表していません。内部情報筋によると、同社はこのインシデントからの継続的な複雑な問題を予想しています。
ShinyHuntersが公然とデータ盗難の責任を主張している一方、セキュリティ研究者は基盤となるTrivyサプライチェーン攻撃を別のグループであるTeamPCPに帰しています。
このグループは、“TeamPCP Cloud Stealer”と呼ばれるカスタムマルウェア株を操り、Docker、NPM、PyPIを含む開発者エコシステムをハイジャックするように設計されています。
TeamPCPはLiteLLMとCheckmarxプロジェクトを標的とした最近のサプライチェーン侵害にも関連しており、Ciscoがこれらの関連する脆弱性から生じる二次攻撃に直面する可能性があるという懸念を生じさせています。
このインシデントは、開発者ツールに対するサプライチェーン攻撃の増大するリスクを強調しています。
単一の侵害されたプラグインは、企業全体のデータ曝露にカスケードでき、ターゲットとされた企業だけでなく、そのクライアントとクラウドインフラストラクチャにも影響を与えます。
翻訳元: https://cyberpress.org/data-leak-allegedly-claimed-by-shinyhunters/