🗓️ Contexte

Source : BleepingComputer, publié le 31 mars 2026. L’article rapporte une violation de l’environnement de développement interne de Cisco, directement causée par la compromission de la chaîne d’approvisionnement du scanner de vulnérabilités Trivy.

🔓 Vecteur d’attaque initial

Les attaquants ont exploité un plugin GitHub Action malveillant introduit lors de la compromission du pipeline GitHub de Trivy. Ce plugin a permis le vol de credentials CI/CD depuis les environnements de build des organisations utilisant l’outil, dont Cisco.

🎯 Impact sur Cisco

  • Dizaines d’appareils compromis, dont des postes de développeurs et des stations de laboratoire
  • Plus de 300 dépôts GitHub clonés, incluant le code source de produits IA (AI Assistants, AI Defense, produits non publiés)
  • Clés AWS volées et utilisées pour des activités non autorisées sur un petit nombre de comptes AWS Cisco
  • Une partie des dépôts volés appartient à des clients corporate : banques, BPO et agences gouvernementales américaines
  • Plusieurs équipes internes impliquées dans la réponse : Unified Intelligence Center, CSIRT et EOC

🔄 Propagation via d’autres supply chains

Cisco anticipe des retombées supplémentaires liées à deux autres attaques supply chain connexes :

  • LiteLLM (package PyPI compromis, dizaines de milliers d’appareils impactés)
  • Checkmarx KICS (projet compromis pour déployer le même infostealer)

Ces trois attaques sont attribuées au groupe TeamPCP, qui cible les plateformes de code développeur : GitHub, PyPI, NPM et Docker.

🦠 Malware utilisé

Le groupe TeamPCP a déployé son propre infostealer baptisé “TeamPCP Cloud Stealer” pour exfiltrer les credentials CI/CD.

🛡️ Réponse de Cisco

  • Isolation des systèmes affectés
  • Réimagerie en cours
  • Rotation massive des credentials
  • Cisco n’a pas répondu aux questions de BleepingComputer au moment de la publication

📌 Nature de l’article

Article de presse spécialisée relatant une annonce d’incident en cours, basé sur des sources anonymes, visant à informer la communauté cybersécurité de l’étendue de la compromission et de ses liens avec une campagne supply chain plus large.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1552.005 — Unsecured Credentials: Cloud Instance Metadata API (Credential Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1213 — Data from Information Repositories (Collection)
  • T1530 — Data from Cloud Storage (Collection)
  • T1586.002 — Compromise Accounts: Email Accounts (Resource Development)
  • T1059 — Command and Scripting Interpreter (Execution)

Malware / Outils

  • TeamPCP Cloud Stealer (stealer)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 2980 chars — texte partiel (10pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : TeamPCP (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/cisco-source-code-stolen-in-trivy-linked-dev-environment-breach/