A Cisco sofreu um ataque cibernético após agentes maliciosos utilizarem credenciais roubadas no recente ataque à cadeia de suprimentos do Trivy para invadir seu ambiente interno de desenvolvimento e furtar códigos-fonte da empresa e de seus clientes.
Uma fonte, que preferiu não se identificar, informou que as equipes do Cisco Unified Intelligence Center, CSIRT e EOC conseguiram conter a brecha causada por um plugin malicioso do GitHub Action vinculado ao comprometimento do Trivy.
Os invasores usaram esse plugin para roubar credenciais e dados do ambiente de build e desenvolvimento da Cisco, afetando dezenas de dispositivos, incluindo estações de trabalho de desenvolvedores e laboratórios.
Embora a invasão inicial tenha sido contida, a fonte informou que a empresa espera impactos contínuos devido a ataques subsequentes à cadeia de suprimentos do LiteLLM e do Checkmarx.
Durante o incidente, várias chaves AWS foram roubadas e usadas para realizar atividades não autorizadas em um pequeno número de contas AWS da Cisco.
A empresa isolou os sistemas afetados, iniciou o processo de reimaging e está promovendo ampla rotação de credenciais.
O BleepingComputer apurou que mais de 300 repositórios GitHub foram clonados, incluindo códigos-fonte de produtos baseados em IA como AI Assistants, AI Defense e produtos ainda não lançados.
Parte dos repositórios roubados pertence a clientes corporativos, entre eles bancos, empresas de BPO e agências governamentais dos Estados Unidos.
Fontes relataram que mais de um grupo de agentes ameaçadores participou das invasões às contas CI/CD e AWS da Cisco, com diferentes níveis de atividade.
A Cisco foi procurada para comentar o incidente, mas ainda não respondeu aos e-mails enviados.
A origem da brecha está no ataque à cadeia de suprimentos do scanner de vulnerabilidades Trivy ocorrido este mês, quando agentes comprometeram o pipeline do projeto no GitHub para distribuir malware focado no roubo de credenciais por meio de releases oficiais e GitHub Actions.
Esse ataque permitiu o furto de credenciais CI/CD de várias organizações que utilizavam a ferramenta, dando aos invasores acesso a milhares de ambientes internos de build.
Pesquisadores de segurança associaram esses ataques à cadeia de suprimentos ao grupo de ameaças TeamPCP com base no uso do infostealer autodenominado "TeamPCP Cloud Stealer".
O TeamPCP tem realizado uma série de ataques focados em plataformas de código voltadas a desenvolvedores, como GitHub, PyPi, NPM e Docker.
O grupo também comprometeu o pacote LiteLLM no PyPI, afetando dezenas de milhares de dispositivos, além do projeto Checkmarx KICS, usando a mesma técnica de implantação do malware para roubo de informações.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...