A Cisco sofreu um ciberataque em larga escala perpetrado pelo grupo de hackers TeamPCP. Utilizando o malware TeamPCP Cloud Stealer, os atacantes comprometeram a solução de segurança Trivy, obtendo acesso aos projetos que estavam sendo protegidos. Os cibercriminosos roubaram o código-fonte da própria Cisco e de vários de seus clientes.
Fonte da imagem: Kevin Ku / unsplash.com
Especialistas em cibersegurança do Cisco Unified Intelligence Center, CSIRT e EOC descobriram uma intrusão relacionada ao plugin GitHub Actions, que se tornou malicioso após o Trivy, um componente do produto, ter sido comprometido por meio de um ataque à cadeia de suprimentos. Esse plugin ajudou a roubar credenciais de ambientes de desenvolvimento e compilação, afetando dezenas de sistemas, incluindo estações de trabalho de desenvolvedores e funcionários de laboratório. A violação inicial foi contida, mas suas consequências permanecem relevantes devido a intrusões subsequentes na biblioteca LiteLLM e na ferramenta Checkmarx KICS.
Os invasores conseguiram roubar diversas chaves de acesso da Amazon Web Services (AWS) e realizar ações não autorizadas em várias contas da Cisco na AWS. Os especialistas da Cisco isolaram os sistemas afetados e estão realizando uma rotação de credenciais em larga escala. Durante o incidente, os cibercriminosos clonaram mais de 300 repositórios do GitHub, incluindo o código-fonte dos produtos de IA da empresa, como AI Assistants e AI Defense, bem como projetos ainda não lançados. Alguns repositórios supostamente pertencem a clientes da Cisco, incluindo bancos, agências governamentais dos EUA e serviços de terceirização de processos de negócios.
Pesquisadores atribuíram o incidente ao grupo TeamPCP. O grupo lançou uma série de ataques à cadeia de suprimentos, tentando comprometer plataformas como GitHub, PyPi, NPM e Docker.