Компания Cisco стала жертвой серьёзной кибератаки, организованной группировкой TeamPCP. Хакеры использовали вредоносное ПО TeamPCP Cloud Stealer и сумели взломать систему безопасности Trivy, что дало им доступ к защищённым проектам. В результате преступники получили исходный код Cisco и некоторых её клиентов.
Специалисты по кибербезопасности из подразделений Cisco Unified Intelligence Center, CSIRT и EOC выявили, что атака была связана с плагином GitHub Action, который после взлома Trivy стал вредоносным. Этот плагин позволил злоумышленникам похитить учётные данные из сред разработки и сборки программного обеспечения, затронув десятки систем, включая рабочие станции сотрудников и лабораторий. Хотя первоначальный взлом был локализован, последствия продолжают ощущаться из-за дальнейших проникновений в код библиотеки LiteLLM и инструмента Checkmarx KICS.
клонировали более 300 репозиториев GitHub
Кроме того, хакеры получили несколько ключей доступа к платформе Amazon Web Services (AWS) и совершили несанкционированные операции в учётных записях Cisco на AWS. В ответ специалисты компании изолировали пострадавшие системы и начали масштабную ротацию учётных данных. За время инцидента злоумышленники клонировали более 300 репозиториев GitHub, среди которых оказались хранилища исходного кода ИИ-продуктов Cisco, таких как AI Assistants и AI Defense, а также проекты, ещё не выпущенные в производство. Некоторые из этих репозиториев предположительно принадлежат клиентам Cisco, включая банки, государственные учреждения США и компании, предоставляющие услуги аутсорсинга бизнес-процессов.
Ответственность за атаку возложена на группировку TeamPCP, которая в настоящее время активно проводит серию атак на цепочки поставок, пытаясь взломать популярные платформы, такие как GitHub, PyPi, NPM и Docker.