3月19日,資安公司Aqua Security維護的開源程式碼掃描工具Trivy遭遇供應鏈攻擊,駭客組織TeamPCP入侵其GitHub Actions流程,並植入竊資軟體,後續這些駭客藉此散布蠕蟲CanisterWorm,滲透KICS、LiteLLM,以及Telnyx等開源專案,如今傳出有大型科技公司也因Trivy事故受害。
根據資安新聞網站Bleeping Computer報導,思科近日遭遇一起網路攻擊,駭客利用Trivy事故外流的憑證,入侵該公司的內部開發環境,並竊取該公司與其客戶的原始碼。不願具名的知情人士透露,Cisco Unified Intelligence Center(CUIC)、CSIRT,以及EOC團隊正著手調查此事,並認為起因是來自Trivy事故流出的惡意GitHub Action外掛程式。
攻擊者利用惡意外掛竊取思科開發環境的憑證與資料,有數十臺裝置受影響,其中包含部分開發人員與實驗室的工作站。雖然這起事故已獲初步控制,不過思科研判,LiteLLM與KICS供應鏈攻擊事故也可能對思科造成影響。
除了上述開發環境,這起事故還波及該公司的AWS雲端環境與GitHub儲存庫。思科有多組AWS金鑰遭竊,並用於對少部分AWS帳號進行未經授權活動。思科隔離受影響的系統、重建映像,並進行大規模憑證輪替。
有超過300個思科維護的GitHub儲存庫遭到複製,這些儲存庫用於存放AI驅動解決方案的程式碼,解決方案包含AI Assistant與AI Defense。
再者,部分遭竊儲存庫所有者是該公司的客戶,包含銀行、業務外包廠商(BPO),以及美國政府機關。
值得留意的是,前述情況與Trivy事故有關,很容易讓人聯想到攻擊者的身分就是TeamPCP,不過,有多名知情人士向該新聞網站表示,至少有兩組以上的駭客團體參與這波攻擊活動,外洩思科的CI/CD與AWS帳號。
