✨︎ Resumen (TL;DR):
- Cisco confirmó una intrusión en sus entornos de desarrollo interno tras el hackeo a la cadena de suministro del escáner Trivy.
- El grupo ShinyHunters exige un rescate antes del 3 de abril por el robo de 3 millones de registros de Salesforce.
- Los atacantes clonaron más de 300 repositorios con código fuente de IA y extrajeron claves de AWS para accesos no autorizados.
La gigante de redes Cisco confirmó una vulneración en su entorno de desarrollo interno originada por el reciente ataque a la cadena de suministro del escáner Trivy. Este incidente derivó en el robo de código fuente de productos de inteligencia artificial, repositorios de clientes y múltiples claves de acceso de AWS.
De forma paralela, el grupo de extorsión ShinyHunters se atribuyó el robo de más de 3 millones de registros de Salesforce pertenecientes a la compañía. Los ciberdelincuentes fijaron como fecha límite el 3 de abril para que la empresa responda antes de hacer pública la información.
El ataque original ocurrió el 19 de marzo y tuvo como objetivo una herramienta de Aqua Security. Trivy es un escáner de vulnerabilidades de código abierto que el grupo hacker TeamPCP comprometió para inyectar código malicioso y extraer credenciales directamente desde pipelines CI/CD en miles de organizaciones.
Código de IA y repositorios corporativos expuestos
Los atacantes utilizaron un plugin de GitHub Action alterado para recolectar las credenciales de los entornos de construcción de Cisco. Durante el incidente se clonaron más de 300 repositorios de GitHub.
Entre la información robada destaca el código de soluciones como AI Assistants y AI Defense, además de proyectos de software aún no lanzados al público. El impacto también alcanzó repositorios de clientes corporativos, afectando a bancos y agencias gubernamentales de Estados Unidos.
El uso de las claves robadas permitió actividades no autorizadas en varias cuentas de AWS de la firma. Equipos internos ya aislaron los sistemas afectados e iniciaron una rotación masiva de credenciales. Diversas fuentes señalaron que múltiples actores de amenazas participaron en los accesos con “distintos grados de actividad”.
Gigantes como Microsoft y Palo Alto Networks calificaron la intrusión inicial a Trivy como uno de los ataques más sofisticados contra una herramienta de seguridad. Mientras tanto, ShinyHunters mantiene una agresiva campaña que ha afectado a unas 400 organizaciones desde finales de 2024. Hasta el momento, Cisco no ha emitido comentarios sobre la exigencia de rescate.
