HackerangriffeSchwachstellenCyberkriminalität

Cisco-Quellcode gestohlen: Supply-Chain-Angriff über Trivy-Sicherheitstool

Cisco-Quellcode gestohlen: Supply-Chain-Angriff über Trivy-Sicherheitstool
Zusammenfassung

Cisco ist Opfer eines Cyberangriffs geworden, bei dem Bedrohungsakteure gestohlene Anmeldedaten aus dem kürzlichen Trivy-Supplychain-Anschlag ausnutzten, um in die interne Entwicklungsumgebung des Unternehmens einzudringen und Quellcode von Cisco und seinen Kunden zu stehlen. Der Angriff wurde durch eine manipulierte GitHub-Action aus der Trivy-Kompromittierung ermöglicht, mit der Angreifer Zugangsdaten und Daten aus der Build- und Entwicklungsumgebung extrahierten. Bei dem Vorfall wurden über 300 GitHub-Repositories geklont, darunter Quellcode für KI-gestützte Produkte sowie unreleased Software. Bemerkenswert ist, dass ein Großteil der gestohlenen Repositories von Unternehmenskunden stammt – darunter Banken, Business Process Outsourcing-Anbieter und US-Regierungsbehörden. Für deutsche Unternehmen und Behörden ist dieser Vorfall erheblich relevant, da er die Vulnerabilität von Entwicklungsumgebungen und die Kaskadeneffekte von Supplychain-Attacken unterstreicht. Deutsche Firmen, die Cisco-Produkte einsetzen oder mit betroffenen Entwicklungstools arbeiten, könnten indirekt gefährdet sein. Die Attacke verdeutlicht zudem, wie Bedrohungsakteure über kompromittierte Open-Source-Tools und CI/CD-Pipelines Zugang zu kritischen Systemen und sensibler Infrastruktur erlangen können – ein Szenario, das für deutsche Organisationen jeder Größe relevant ist.

Der Angriff offenbart eine Verkettung kritischer Sicherheitsverstöße in der Software-Supply-Chain. Alles begann mit der Kompromittierung von Trivy, einem weit verbreiteten Open-Source-Vulnerability-Scanner, der von tausenden Entwicklungsteams weltweit verwendet wird. Bedrohungsakteure infiltrierten das GitHub-Pipeline des Trivy-Projekts und verbreiteten ein bösartiges GitHub-Action-Plugin, das Anmeldedaten aus Build- und Entwicklungsumgebungen stahl.

Ciscos Sicherheitsteams entdeckten, dass Angreifer diese gestohlenen Zugangsdaten missbrauchten, um in mehrere interne Systeme einzudringen — darunter das Unified Intelligence Center, CSIRT und das Emergency Operations Center. Über die kompromittierten Entwicklungsumgebungen gelangten die Akteure an insgesamt über 300 GitHub-Repositories. Besonders besorgniserregend: Der gestohlene Code umfasst nicht nur Ciscos eigene KI-Assistenten und AI-Defense-Systeme, sondern auch unveröffentlichte Produkte und Quellcode von Kundenorganisationen.

Die Angreifer entwendeten zudem mehrere AWS-Zugriffsschlüssel, mit denen sie unbefugte Aktivitäten in mehreren Cisco-AWS-Accounts durchführten. Cisco reagierte durch sofortige Systemisolation, großflächiges Neuaufsetzen betroffener Geräte und unternehmensweite Credential-Rotation.

Sicherheitsforschern zufolge war die TeamPCP-Gruppe der Hauptakteur hinter dieser Attacke. Die Gruppe nutzte ihre selbstentwickelte “TeamPCP Cloud Stealer”-Malware und führte parallel weitere Supply-Chain-Angriffe durch — einschließlich der Kompromittierung des LiteLLM-PyPI-Pakets und des Checkmarx-KICS-Projekts. Diese Koordination deutet auf eine umfassende Strategie hin, mehrere Angriffsvektoren gleichzeitig auszunutzen.

Für deutsche Organisationen ist dies ein Weckruf. Viele Unternehmen vertrauen auf beliebte Open-Source-Tools und Cloud-Plattformen ohne vollständige Einsicht in deren Sicherheitsmaßnahmen. Der Vorfall zeigt, dass selbst große, sicherheitsbewusste Unternehmen wie Cisco von Supply-Chain-Angriffen überrascht werden können. Experten empfehlen verstärkte Überwachung von Developer-Abhängigkeiten, Credential-Management-Systeme und segmentierte Netzwerkarchitekturen in Entwicklungsumgebungen.

Ähnliche Artikel