🗓️ Contexte

Source : BleepingComputer, article de Lawrence Abrams publié le 31 mars 2026. L’article rapporte une violation de l’environnement de développement interne de Cisco, directement liée à l’attaque supply chain ayant compromis le scanner de vulnérabilités Trivy.

🔓 Vecteur d’intrusion

Les attaquants ont exploité un plugin GitHub Action malveillant introduit lors de la compromission de Trivy pour dérober des identifiants CI/CD de Cisco. Ces credentials ont ensuite permis l’accès à l’environnement de build et de développement de l’entreprise, impactant des dizaines d’appareils, dont des postes de travail de développeurs et des machines de laboratoire.

📦 Impact constaté

  • Plus de 300 dépôts GitHub clonés, incluant le code source de produits IA (AI Assistants, AI Defense, produits non encore publiés)
  • Clés AWS volées et utilisées pour des activités non autorisées sur un nombre limité de comptes AWS Cisco
  • Une partie des dépôts appartient à des clients corporate : banques, BPOs et agences gouvernementales américaines
  • Les équipes Unified Intelligence Center, CSIRT et EOC de Cisco ont contenu la brèche initiale
  • Cisco a isolé les systèmes affectés, procédé à leur réinitialisation et effectué une rotation massive des credentials

⚠️ Propagation attendue

Cisco anticipe des retombées supplémentaires liées aux attaques supply chain secondaires sur LiteLLM (package PyPI) et Checkmarx KICS, également compromis dans la même campagne.

🕵️ Attribution

Les chercheurs en sécurité attribuent ces attaques au groupe TeamPCP, identifié via l’utilisation de leur infostealer maison “TeamPCP Cloud Stealer”. Ce groupe mène une série d’attaques supply chain ciblant les plateformes de développement : GitHub, PyPI, NPM et Docker. Plusieurs acteurs de la menace distincts auraient participé aux violations des environnements CI/CD et des comptes AWS de Cisco.

📰 Nature de l’article

Article de presse spécialisée rapportant une annonce d’incident en cours, basé sur des sources anonymes et des informations non confirmées officiellement par Cisco, dont la réponse aux sollicitations de BleepingComputer était absente au moment de la publication.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • TeamPCP (cybercriminal)

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1213 — Data from Information Repositories (Collection)
  • T1537 — Transfer Data to Cloud Account (Exfiltration)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1059 — Command and Scripting Interpreter (Execution)

Malware / Outils

  • TeamPCP Cloud Stealer (stealer)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/cisco-source-code-stolen-in-trivy-linked-dev-environment-breach/