思科遭到供应链攻击泄露内部及客户产品源代码 目前正在大规模轮换凭证

3 月份开源的漏洞扫描器 Trivy 遭遇攻击并向使用该工具的下游项目投毒，攻击者利用恶意 GitHub Action 插件感染多个企业的内部环境，随后窃取内部环境中的敏感数据例如各种云凭证。

知名科技公司思科也在这轮供应链攻击中受损，攻击者利用恶意的 GitHub Action 从思科的构建和开发环境中窃取凭据和数据，包括部分开发者设备和实验室工作站遭到感染。

尽管思科反应还算迅速但仍然受到 Trivy 供应链攻击影响，并且有内部人士透露称，思科预计后续的 LiteLLM 和 Checkmarx 供应链攻击还将会造成持续影响。

在攻击中思科内部使用的多个亚马逊 AWS 凭据被窃取，思科通过检查还发现黑客已经使用被盗的凭据访问 AWS 云资源，作为应对措施思科直接隔离受影响的系统并开始重装。

另外对于任何无法确定是否泄露的凭据或密钥，思科的做法都是轮换，所以现在思科内部正在大规模的轮换凭证，防止出现失误导致黑客可以持续访问各类资源。

至于被盗的数据，根据客户不同实际后果也不同，思科在这次攻击中有 300 多个私有的 GitHub 仓库被克隆，部分仓库属于企业客户，部分仓库属于美国政府机构。

思科尚未就此事发布公开回应，不过想必此时思科应该已经通知受影响的客户加强安全防御，毕竟产品源代码泄露可不算是小事，客户也必须积极应对后续的攻击。