Компания Cisco стала жертвой масштабной кибератаки, организованной хакерской группировкой TeamPCP. Злоумышленники использовали вредоносное ПО TeamPCP Cloud Stealer для взлома системы безопасности Trivy, что позволило им получить доступ к защищённым проектам и исходному коду Cisco, а также некоторых клиентов компании.
Специалисты по кибербезопасности из Cisco Unified Intelligence Center, CSIRT и EOC выявили, что атака произошла через компрометацию плагина GitHub Action, который стал вредоносным после взлома Trivy в рамках атаки на цепочку поставок. Этот плагин позволил хакерам похитить учётные данные из рабочих сред разработки и сборки программного обеспечения, затронув десятки систем, включая компьютеры разработчиков и сотрудников лабораторий. Несмотря на локализацию первичного взлома, последствия продолжают проявляться, так как злоумышленники проникли в код библиотеки LiteLLM и инструменты Checkmarx KICS.
Кроме того, киберпреступники получили доступ к нескольким ключам платформы Amazon Web Services (AWS) и совершили несанкционированные действия в учётных записях Cisco на AWS. В ответ на инцидент специалисты компании изолировали пострадавшие системы и начали масштабную ротацию учётных данных. В ходе атаки было клонировано более 300 репозиториев на GitHub, включая исходный код проектов в области искусственного интеллекта — таких как AI Assistants и AI Defense — а также невыпущенных разработок. Среди затронутых репозиториев оказались и клиентские хранилища, принадлежащие банкам, государственным учреждениям США и аутсорсинговым сервисам.
Ответственность за атаку возложена на группировку TeamPCP, которая в настоящее время проводит серию атак на цепочки поставок, пытаясь взломать популярные платформы, включая GitHub, PyPi, NPM и Docker.
