Cisco bị đánh cắp mã nguồn: Lỗ hổng chuỗi cung ứng từ Trivy cho phép tấn công nội bộ

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.757 bài viết
Cisco bị đánh cắp mã nguồn: Lỗ hổng chuỗi cung ứng từ Trivy cho phép tấn công nội bộ
WhiteHat Team
Cisco vừa xác nhận một sự cố an ninh mạng nghiêm trọng, khi tin tặc lợi dụng thông tin đăng nhập bị rò rỉ từ chiến dịch tấn công chuỗi cung ứng liên quan đến Trivy để xâm nhập hệ thống phát triển nội bộ và đánh cắp mã nguồn.
1775036723547.png

Theo các phân tích kỹ thuật, điểm xâm nhập xuất phát từ một tiện ích GitHub độc hại được cài cắm vào quy trình tự động xây dựng phần mềm. Thành phần này cho phép kẻ tấn công thu thập thông tin xác thực và dữ liệu từ hệ thống biên dịch, ảnh hưởng đến nhiều máy tính của lập trình viên và môi trường thử nghiệm.

Dù sự cố ban đầu đã được các đội ứng cứu xử lý, rủi ro vẫn chưa kết thúc. Cisco cảnh báo về tác động dây chuyền từ các chiến dịch liên quan như LiteLLM và Checkmarx, cho thấy đây là một chuỗi tấn công chuỗi cung ứng có chủ đích, không phải sự cố riêng lẻ.

Ở cấp độ hạ tầng, nhiều khóa truy cập dịch vụ đám mây đã bị đánh cắp và bị lạm dụng để truy cập trái phép vào một số tài khoản nội bộ. Cisco đã cô lập các hệ thống bị ảnh hưởng, cài đặt lại máy và tiến hành thay đổi toàn bộ thông tin đăng nhập - quy trình tiêu chuẩn khi xảy ra rò rỉ khóa truy cập.

Đáng chú ý, hơn 300 kho mã nguồn đã bị sao chép, bao gồm cả các dự án trí tuệ nhân tạo như trợ lý AI, hệ thống phòng thủ AI và các sản phẩm chưa công bố. Một phần dữ liệu bị lấy cắp được cho là thuộc về khách hàng doanh nghiệp, bao gồm ngân hàng, công ty gia công dịch vụ và cả cơ quan chính phủ Mỹ làm tăng mức độ nhạy cảm của sự cố.

Phân tích sâu hơn cho thấy có nhiều nhóm tin tặc cùng tham gia, hoạt động với mức độ khác nhau trên hệ thống phát triển và hạ tầng đám mây. Chiến dịch này được liên kết với nhóm TeamPCP, nổi tiếng với phần mềm đánh cắp thông tin “Cloud Stealer”, thường nhắm vào các nền tảng phát triển như GitHub, PyPI, NPM và Docker.

Nguồn gốc sự cố bắt đầu từ việc quy trình phát hành của Trivy bị xâm phạm, dẫn đến phát tán mã độc qua các bản cập nhật chính thức. Điều này mở đường cho việc đánh cắp thông tin đăng nhập trên diện rộng, một kịch bản nguy hiểm trong môi trường phát triển phần mềm hiện đại.
Theo Bleeping Computer
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng nghiêm trọng trên Cisco Secure Firewall cho phép chiếm quyền root từ xa
  • Zero-day Cisco bị khai thác: Nguy cơ ransomware xâm nhập hạ tầng doanh nghiệp Việt Nam
  • PoC CVE-2026-20127 bị phát tán, Cisco SD-WAN đối mặt nguy cơ bị kiểm soát từ xa
  • Cisco vá hai lỗ hổng nghiêm trọng trong Secure FMC, cho phép chiếm quyền root từ xa
  • Cisco SD-WAN dính lỗ hổng cực nguy hiểm, hacker âm thầm khai thác từ 2023
  • Cisco và F5 vá loạt lỗ hổng nghiêm trọng: Nguy cơ sập hệ thống, mất quyền kiểm soát
    • Thẻ
    bảo mật hệ thống phát triển cisco bị hack lỗ hổng trivy rò rỉ mã nguồn tấn công chuỗi cung ứng tiện ích github độc hại
    Bên trên