Cisco는 최근 Trivy 공급망 공격에서 유출된 자격 증명이 악용되어 내부 개발 환경이 침해되고, 자사 및 고객의 소스코드가 유출되는 사이버 공격을 당했다. 공격자는 Trivy 취약점으로 인해 유포된 악성 GitHub Action 플러그인을 활용해 Cisco의 빌드 및 개발 환경에서 자격 증명과 데이터를 탈취했으며, 이로 인해 수십 대의 개발 및 실험용 워크스테이션이 영향을 받았다. Cisco는 침해 사실을 인지한 후 관련 시스템을 격리하고, 재이미징 및 대규모 자격 증명 교체 작업을 진행 중이다.
이번 공격으로 인해 여러 AWS 키가 탈취되어 일부 Cisco AWS 계정에서 무단 활동이 발생했으며, 300개 이상의 GitHub 저장소가 복제되었다. 이 저장소에는 AI Assistants, AI Defense 등 AI 기반 제품의 소스코드와 미공개 제품, 그리고 은행, BPO, 미국 정부 기관 등 고객사의 소스코드도 포함된 것으로 알려졌다. 복수의 위협 행위자가 Cisco의 CI/CD 및 AWS 계정 침해에 관여한 것으로 파악되었으며, 추가적인 공급망 공격(LiteLLM, Checkmarx)으로 인한 후폭풍도 예상된다.
이번 사건의 근본 원인은 Trivy 취약점 스캐너의 공급망 공격으로, TeamPCP 위협 그룹이 GitHub, PyPi, NPM, Docker 등 개발자 코드 플랫폼을 대상으로 일련의 공격을 감행한 결과이다. TeamPCP는 자체 제작한 정보 탈취 악성코드를 활용해 LiteLLM PyPI 패키지와 Checkmarx KICS 프로젝트 등도 침해하여 수만 대의 기기에 영향을 미쳤다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.