Revisaron vulnerabilidades y hackearon a Cisco: un plugin en GitHub abrió las puertas de la red del gigante tecnológico
Ciberdelincuentes robaron 300 carpetas con código fuente y contraseñas de Amazon.
Un ciberataque contra uno de los mayores conglomerados de TI comenzó con lo que parecía ser una herramienta común para comprobar vulnerabilidades. Como resultado, los atacantes lograron infiltrarse en el entorno interno de desarrollo de Cisco y robar el código fuente tanto de la propia empresa como de sus clientes.
El incidente está relacionado con el reciente ataque a la cadena de suministro alrededor de la utilidad Trivy. A través de un complemento malicioso para la automatización en GitHub, los atacantes obtuvieron acceso a credenciales y a datos del entorno de compilación y desarrollo. Decenas de dispositivos resultaron afectados, incluidas estaciones de trabajo de desarrolladores y sistemas de laboratorio.
Los equipos internos de respuesta de Cisco contuvieron la intrusión. Sin embargo, según la evaluación interna de la empresa, las consecuencias podrían extenderse debido a ataques relacionados contra LiteLLM y Checkmarx. Tras la intrusión, los atacantes robaron claves de acceso a la plataforma en la nube Amazon Web Services y las utilizaron para acciones no autorizadas en varias cuentas. Actualmente la empresa está aislando los sistemas afectados, reinstalándolos y cambiando masivamente las credenciales.
Durante el ataque los atacantes copiaron más de 300 repositorios. Entre ellos se encontraban los códigos fuente de productos con elementos de inteligencia artificial, incluidos AI Assistants y AI Defense, así como desarrollos aún no presentados. Parte de los datos robados pertenecen a clientes corporativos, entre ellos bancos, empresas de externalización y agencias gubernamentales de Estados Unidos.
Según la información disponible, en el ataque participaron varios grupos con distintos niveles de actividad. La empresa aún no ha respondido a las solicitudes oficiales sobre lo ocurrido.
La causa de la intrusión fue la compromisión de la cadena de suministro de Trivy a principios de mes. Los atacantes se infiltraron en la canalización de compilación del proyecto en GitHub y difundieron código malicioso a través de lanzamientos oficiales y scripts automatizados. El software malicioso recopilaba credenciales, lo que abrió el acceso a miles de entornos internos de desarrollo en distintas empresas.
El ataque se atribuye al grupo TeamPCP. El grupo utiliza su propio malware TeamPCP Cloud Stealer y lleva a cabo una serie de ataques contra plataformas para desarrolladores, incluidas GitHub, PyPI, NPM y Docker. Anteriormente los participantes de la campaña también comprometieron el paquete LiteLLM en PyPI y el proyecto Checkmarx KICS, distribuyendo la misma herramienta para el robo de datos.