大手情報技術企業の1つを標的とするサイバー攻撃は、一見ありふれた脆弱性評価ツールに端を発していました。その結果、敵対者はシスコの内部開発環境に成功裏に侵入し、企業とそのクライアントの両方の根本的なソースコードを流出させました。
この困難はTrivyユーティリティを含む最近の供給チェーン攻撃と密接に関連しています。GitHubの悪意あるオートメーションプラグインを通じて、略奪者はビルドと開発環境から認証情報とテレメトリを横領しました。建築家のワークステーションと実験室システムを含む数十のデバイスが包囲されました。
シスコの内部対応チームはその後、この侵害を隔離しました。それにもかかわらず、内部評価によると、LiteLLMとCheckmarxへの相乗的な攻撃のため、影響はさらに広がる可能性があります。侵入後、攻撃者はAmazon Web Servicesクラウドプラットフォームのアクセスキーを収集し、それらを使用して無数のアカウント全体で不正な操作を調整しました。企業は現在、影響を受けたアーキテクチャを分離し、クリーンな状態から復元し、認証情報の大規模な交換を実行しています。
包囲中、略奪者は300以上のリポジトリを複製しました。これらの中には、AIアシスタントとAI Defenseを含む人工知能駆動型ソリューションのソースコード、および発表されていない初期プロジェクトが含まれていました。盗まれた情報の一部は、金融機関、アウトソーシング企業、および米国政府部門にまたがる企業の顧客に属しています。
入手可能な情報によると、攻撃は様々な程度の活力を持つ異なるグループの連合を含んでいました。同社はこれまで、この大惨事に関する公式の問い合わせへの対応を控えていました。
この支配の触媒は、今月初めのTrivy供給チェーンの侵害でした。悪意のある者たちはプロジェクトのGitHubデプロイメントパイプラインに組み込まれ、公式リリースとオートメーションスクリプトを通じて悪意のあるアーキテクチャを配布しました。マルウェアは認証情報を収集し、それによって多様な企業全体の数千の内部開発環境へのアクセスを許可しました。
このキャンペーンはTeamPCPとして指定される集団に帰せられています。シンジケートは「TeamPCP Cloud Stealer」として知られている独自の悪意のあるアーティファクトを操り、GitHub、PyPI、NPM、Dockerを含む開発者プラットフォームに対する継続的なキャンペーンを実施しています。以前に、このキャンペーンのアーキテクトはPyPI内のLiteLLMパッケージとCheckmarx KICSプロジェクトも侵害し、データ流出用の同じ計器を伝播させました。
