Cisco’nun Trivy Tedarik Zinciri Saldırısıyla Kaynak Kodları ve AWS Anahtarları Çalındı
Cisco’nun Trivy Tedarik Zinciri Saldırısıyla Kaynak Kodları ve AWS Anahtarları Çalındı

Cisco’nun Trivy Tedarik Zinciri Saldırısıyla Kaynak Kodları ve AWS Anahtarları Çalındı

Teknoloji Haberleri - Ağ teknolojilerinin küresel devi Cisco, yazılım tedarik zincirini hedef alan sofistike bir siber saldırıyla sarsıldı. Cisco tedarik zinciri saldırısı olarak anılan bu olayda, saldırganlar popüler açık kaynaklı güvenlik tarayıcısı Trivy’nin GitHub bileşenlerini zehirledi. Ele geçirilen kimlik bilgileri sayesinde Cisco’nun iç geliştirme ortamına sızan tehdit aktörleri, şirketin en kritik yapay zeka projelerinin kaynak kodlarını ve AWS bulut hesaplarının erişim anahtarlarını çaldı.

Trivy’nin Sömürülmesi Nasıl Başladı?

Olayın kökeni, Aqua Security tarafından geliştirilen ve 33 binden fazla GitHub yıldızına sahip Trivy aracına dayanıyor. Saldırganlar, Şubat 2026’nın sonlarında Trivy’nin GitHub Actions iş akışındaki bir zafiyetten faydalanarak önce bir Erişim Tokenı (Personal Access Token) ele geçirdi. Aqua Security ekipleri durumu fark edip kimlik bilgilerini döndürmeye çalışsa da, bu işlem eş zamanlı gerçekleşmedi. Birkaç gün süren döndürme penceresinde saldırganlar yeni üretilen tokenları da çalmayı başardı.

İkinci aşamada ise TeamPCP (DeadCatx3, PCPcat ve ShellForce olarak da biliniyor) adlı tehdit grubu devreye girdi. Ele geçirdikleri tokenlarla Trivy’nin “trivy-action” deposuna erişen saldırganlar, 75 farklı sürüm etiketini (@v0.28.0 gibi) zorla güncelledi. Bu yöntem, etiketlerin işaret ettiği commit’leri değiştirirken etiket isimlerini ve oluşturulma tarihlerini aynı bıraktı. Böylece bu etiketleri kullanan tüm CI/CD hatları, haberleri olmadan güvenlik tarayıcısı yerine bir kimlik bilgisi hırsızı çalıştırmaya başladı.

Cisco’nun İç Ortamına Sızma Süreci

Cisco tedarik zinciri saldırısı kapsamında zehirlenmiş Trivy bileşenlerini kullanan bir GitHub Action eklentisi, önce çok sayıda kurumsal kullanıcıdan SSH anahtarları, API tokenları ve bulut servis sağlayıcı kimlik bilgilerini topladı. Saldırganlar elde ettikleri bu verileri kullanarak Cisco’nun dahili geliştirme ve derleme (build) ortamlarına yetkisiz erişim sağladı. Düzinelerce geliştirici iş istasyonu ve laboratuvar cihazı tehlikeye girdi.

İçeri girdikten sonra tehdit aktörleri hızla yayılarak Cisco’ya ait 300’den fazla GitHub reposunu kopyaladı. Bu repolar arasında şirketin henüz piyasaya sürülmemiş AI projeleri, AI Assistants ve AI Defense gibi yapay zeka ürünlerinin kaynak kodları da vardı. Daha da çarpıcı olanı, çalınan repoların bir kısmının büyük bankalar, iş süreci dış kaynak (BPO) şirketleri ve ABD devlet kurumları gibi Cisco müşterilerine ait kodları içermesi oldu.

AWS Anahtarları ve Yetkisiz İşlemler

Saldırganlar yalnızca kaynak kodlarıyla yetinmedi. Ele geçirdikleri çok sayıda Amazon Web Services (AWS) anahtarını kullanarak sınırlı sayıdaki Cisco AWS hesabı üzerinde yetkisiz işlemler gerçekleştirdi. Bu işlemlerin tam kapsamı henüz açıklanmış değil, ancak uzmanlar çalınan anahtarların bulut kaynaklarını silme, yeni sunucu başlatma veya veri çıkarma gibi eylemler için kullanılabileceği konusunda uyarıyor. Teknoloji Haberleri - Teknoloji Medya

Takip Et
×

Teknoloji ve Bilim Haberlerini Yakından Takip Edin

İçeriklerimizi faydalı bulduysanız, en güncel haberlere anında ulaşmak için Telegram kanalımızı takip edin.

Telegram Kanalını Takip Et
@teknolojimedya