Le géant des réseaux Cisco a été victime d’une intrusion majeure. Des cybercriminels ont utilisé des identifiants volés lors de la récente attaque de la chaîne logistique Trivy pour pénétrer son environnement de développement interne et dérober du code source propriétaire.
Selon des informations obtenues par BleepingComputer, les équipes Unified Intelligence Center, CSIRT et EOC de Cisco sont parvenues à contenir la brèche. Cette dernière impliquait un plugin GitHub Action malveillant issu du piratage de Trivy. Ce composant a été utilisé pour exfiltrer des données d’identification et des informations depuis l’environnement de construction et de développement de l’entreprise, touchant plusieurs dizaines de postes de travail.
Code source et clés AWS compromis
Les attaquants ont cloné plus de 300 GitHub repositories lors de cet incident. Le code source dérobé concernerait des produits alimentés par intelligence artificielle, comme AI Assistants et AI Defense, ainsi que des projets non encore publiés. Une partie des dépôts appartiendrait même à des clients institutionnels, parmi lesquels des banques et des agences gouvernementales américaines.
Plusieurs clés d’accès AWS auraient également été subtilisées et utilisées pour mener des activités non autorisées sur un nombre limité de comptes cloud de Cisco. La société a déclaré avoir isolé les systèmes affectés, lancé leur reconfiguration et procédé à un renouvellement massif des authentifiants.
Un groupe nommé TeamPCP en ligne de mire
L’attaque initiale contre Cisco trouve sa source dans le compromis de l’outil d’analyse de vulnérabilités Trivy. Les pirates ont corrompu le pipeline GitHub du projet pour distribuer un malware via ses versions officielles et ses actions GitHub. Cette manœuvre leur a permis de voler les identifiants de milliers d’environnements de construction continu (CI/CD).
Des chercheurs en sécurité associent cette campagne de chaîne logistique au groupe de menace TeamPCP. Cette attribution repose sur l’utilisation de leur stealer baptisé « TeamPCP Cloud Stealer ». Ce collectif est actif dans une série d’attaques ciblant des plateformes de développement comme GitHub, PyPi, NPM et Docker. Il est également lié aux compromissions récentes des paquets LiteLLM sur PyPI et du projet KICS de Checkmarx, déployant le même logiciel espion.
Bien que la brèche initiale chez Cisco soit contenue, l’entreprise anticipe des répercussions liées aux attaques subséquentes contre LiteLLM et Checkmarx. Plusieurs sources indiquent que plusieurs acteurs malveillants, aux niveaux d’activité variables, ont participé aux intrusions des systèmes CI/CD et des comptes AWS de Cisco. L’entreprise n’a pas répondu aux sollicitations de BleepingComputer concernant cet événement.