Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un attacco supply chain, partito dalla compromissione di Trivy ha colpito anche Cisco, permettendo agli aggressori di accedere agli ambienti CI/CD e a rubare del codice sorgente e delle chiavi di AWS. L’uso di GitHub Actions malevole, ha inoltre facilitato il furto di credenziali su larga scala. Sono stati coinvolti anche clienti enterprise e progetti AI. L’incidente evidenzia la fragilità delle pipeline di sviluppo e il rischio sistemico legato agli strumenti di sicurezza compromessi.
Cisco è stata una delle vittime di un massiccio attacco alla catena di fornitura, iniziato con la violazione dello scanner di vulnerabilità Trivy. Come è stato ora rivelato, gli aggressori si sono infiltrati nell’ambiente di sviluppo interno dell’azienda e hanno rubato il codice sorgente (non solo da Cisco stessa, ma anche dai suoi clienti aziendali).
Come appreso da Bleeping Computer, gli aggressori hanno utilizzato credenziali rubate durante la recente violazione di Trivy per ottenere l’accesso agli ambienti di sviluppo e compilazione di Cisco. Successivamente, una GitHub Action dannosa integrata nel progetto Trivy ha permesso loro di rubare credenziali e informazioni da decine di dispositivi, comprese le workstation degli sviluppatori.
L’attacco a Trivy a portato a diverse conseguenza: il gruppo TeamPCP, responsabile di questa campagna, ha compromesso la pipeline GitHub dello scanner e ha distribuito un infostealer tramite release ufficiali e GitHub Actions.
Ciò ha consentito agli aggressori di accedere alle credenziali CI/CD di migliaia di organizzazioni che utilizzano Trivy. La stessa campagna ha colpito anche il pacchetto LiteLLM su PyPI e il progetto Checkmarx su KICS.
Secondo le fonti della pubblicazione, il Cisco Unified Intelligence Center, il CSIRT e i team dell’EOC hanno rapidamente contenuto il problema, ma l’azienda è ora in attesa di ulteriori conseguenze dall’incidente relativo alla compromissione di LiteLLM e Checkmarx.
Durante l’incidente, gli aggressori avrebbero rubato diverse chiavi AWS, utilizzandole poi per compiere azioni non autorizzate su diversi account cloud dell’azienda. Di conseguenza, l’azienda ha già isolato i sistemi interessati, avviato la reinstallazione e sta conducendo un rollback su larga scala delle credenziali.
Secondo quanto riportato dai giornalisti, gli hacker hanno clonato oltre 300 repository GitHub, inclusi i codici sorgente dei prodotti Cisco basati sull’intelligenza artificiale (tra cui AI Assistant, AI Defense e soluzioni non ancora rilasciate).
Alcuni dei repository rubati potrebbero appartenere a clienti aziendali dell’azienda, tra cui banche, società di BPO e agenzie governative statunitensi. La pubblicazione rileva che non un singolo gruppo di hacker, bensì diversi gruppi, hanno partecipato all’attacco all’infrastruttura CI/CD di Cisco e agli account AWS.
