Krađa izvornog koda u Cisco mreži: Kompromitovani kredencijali otvorili vrata napadačima

Globalni tehnološki gigant Cisco našao se u središtu ozbiljnog sigurnosnog incidenta nakon što su napadači, koristeći kompromitovane kredencijale iz nedavnog supply chain napada na open source biblioteku LiteLLM, uspjeli pristupiti internim sistemima i ukrasti izvorni kod. Prema navodima specijalizovanih sigurnosnih medija, napad nije pogodio samo Cisco, već i dio njegovih klijenata.

Incident dodatno potvrđuje koliko su napadi na lanac snabdijevanja (supply chain attack) postali efikasan način za kompromitovanje velikih organizacija – čak i onih sa razvijenim sigurnosnim praksama.

Kako je došlo do kompromitacije

Napad je započeo kompromitovanjem dva LiteLLM paketa objavljena na Python Package Indexu (PyPI). U njih je ubačen maliciozni kod dizajniran za krađu osjetljivih podataka. Ovaj tzv. “credential stealer” cilja širok spektar informacija, uključujući:

• SSH ključeve
• varijable okruženja
• kredencijale za cloud servise (AWS, GCP, Azure)
• Kubernetes tokene
• lozinke za baze podataka

Iako je preporuka sigurnosnih stručnjaka bila hitna rotacija kredencijala nakon otkrivanja kompromitacije, čini se da reakcija u Cisco okruženju nije bila dovoljno brza, što je napadačima omogućilo dodatni prostor za djelovanje.

Pristup AWS računima i internim sistemima

Prema dostupnim informacijama, napadači su iskoristili ukradene ključeve za Amazon Web Services (AWS) kako bi izvršili neovlaštene aktivnosti na ograničenom broju računa. Istovremeno, isti kompromitovani kredencijali omogućili su im pristup internim razvojnim sistemima kompanije.

Posebno zabrinjava činjenica da su meta bili uređaji i okruženja razvojnih timova, što u pravilu znači pristup najosjetljivijim dijelovima infrastrukture – uključujući izvorni kod i projekte u razvoju.

Više od 300 GitHub repozitorija pod napadom

Izvori navode da je tokom incidenta kopirano više od 300 GitHub repozitorija. Među njima se nalaze:

• rješenja zasnovana na vještačkoj inteligenciji
• sigurnosni alati i AI asistenti
• projekti koji još nisu javno objavljeni

Dodatnu težinu incidentu daje činjenica da dio kompromitovanog koda pripada i velikim Cisco klijentima, uključujući finansijske institucije i američke državne agencije.

Za sada nije poznato koji su konkretni proizvodi ili korisnici direktno pogođeni.

Moguća povezanost sa grupom TeamPCP

Iako zvanična potvrda još ne postoji, sigurnosni stručnjaci razmatraju mogućnost da iza napada stoji grupa poznata kao TeamPCP. Prema dostupnim podacima, ova grupa je aktivna od kraja februara i koristi ukradene kredencijale kako bi se lateralno kretala između projekata i organizacija.

Ovakav modus operandi ukazuje na visoko organizovane napade koji se ne zaustavljaju na jednoj meti, već eksploatišu pristup za daljnje kompromitacije.

Reakcija i mjere sanacije

Cisco se do trenutka pisanja nije zvanično oglasio o incidentu. Međutim, prema dostupnim informacijama, poduzete su mjere za ograničavanje štete, uključujući:

• reinstalaciju pogođenih razvojnih sistema iz sigurnosnih kopija
• opsežnu rotaciju kredencijala
• dodatne sigurnosne kontrole pristupa

Ove mjere ukazuju na pokušaj brzog zatvaranja kompromitovanih tačaka, ali i na kompleksnost sanacije u okruženjima sa velikim brojem povezanih sistema.

Zašto je ovaj incident važan

Ovaj slučaj još jednom potvrđuje ključni problem moderne cyber sigurnosti: povjerenje u open source ekosistem može postati kritična tačka napada. Jedan kompromitovani paket dovoljan je da ugrozi cijeli niz organizacija.

Za kompanije koje koriste cloud infrastrukturu i automatizovane razvojne procese, upravljanje kredencijalima i njihova pravovremena rotacija postaju presudni elementi odbrane.

U konačnici, incident u Cisco okruženju nije samo izolovan slučaj – već upozorenje cijeloj industriji da se napadi na lanac snabdijevanja nastavljaju širiti i postaju sve sofisticiraniji.