Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Проверили на уязвимости — взломали Cisco. Один плагин на GitHub открыл двери в сети IT-гиганта

leer en español

Cisco Trivy TeamPCP ИИ взлом
Проверили на уязвимости — взломали Cisco. Один плагин на GitHub открыл двери в сети IT-гиганта
Cisco Trivy TeamPCP ИИ взлом

Киберпреступники вынесли 300 папок с кодом и пароли от Amazon.

image

Кибератака на один из крупнейших ИТ-концернов началась с, казалось бы, обычного инструмента для проверки уязвимостей. В результате злоумышленники смогли проникнуть во внутреннюю среду разработки Cisco и похитить исходный код как самой компании, так и её клиентов.

Инцидент связан с недавней атакой на цепочку поставок вокруг утилиты Trivy. Через вредоносный плагин для автоматизации в GitHub злоумышленники получили доступ к учётным данным и данным из среды сборки и разработки. Под удар попали десятки устройств, включая рабочие станции разработчиков и лабораторные системы.

Внутренние команды реагирования Cisco локализовали взлом. Однако последствия, судя по оценке внутри компании, могут тянуться дальше из-за связанных атак на LiteLLM и Checkmarx. После проникновения злоумышленники похитили ключи доступа к облачной платформе Amazon Web Services и использовали их для несанкционированных действий в ряде учётных записей. Сейчас компания изолирует затронутые системы, переустанавливает их и массово меняет учётные данные.

Во время атаки злоумышленники скопировали более 300 репозиториев. Среди них оказались исходные коды продуктов с элементами искусственного интеллекта, включая AI Assistants и AI Defense, а также ещё не представленные разработки. Часть похищенных данных принадлежит корпоративным клиентам, в том числе банкам, аутсорсинговым компаниям и государственным ведомствам США.

По имеющимся данным, в атаке участвовали сразу несколько групп с разной степенью активности. Компания пока не ответила на официальные запросы о произошедшем.

Причиной взлома стала компрометация цепочки поставок Trivy в начале месяца. Злоумышленники внедрились в конвейер сборки проекта на GitHub и распространяли вредоносный код через официальные релизы и автоматизированные сценарии. Вредонос собирал учётные данные, что открыло доступ к тысячам внутренних сред разработки у разных компаний.

Атаку связывают с группировкой TeamPCP. Группа использует собственный вредонос TeamPCP Cloud Stealer и проводит серию атак на платформы для разработчиков, включая GitHub, PyPI, NPM и Docker. Ранее участники кампании также скомпрометировали пакет LiteLLM в PyPI и проект Checkmarx KICS, распространяя тот же инструмент для кражи данных.