Mart 2026 Trivy supply chain ihlalinden çalınan AWS credential'larını kullanan tehdit aktörleri Cisco'nun iç geliştirme ortamına sızdı: 300+ GitHub deposu klonlandı — AI asistan, savunma ve yayımlanmamış AI ürün kaynak kodları dahil. ShinyHunters, 31 Mart'ta Cisco'ya dark web leak sitesinde "son uyarı" yayımladı ve 3 Nisan 2026 son tarihi koydu.
İddia edilen erişim: UNC6040 vishing, Salesforce Aura (Experience Cloud) misconfiguration ve AWS hesapları olmak üzere 3 ayrı vektör üzerinden erişim. 3M+ Salesforce kaydı; FBI, DHS, DISA, IRS, NASA ve Avustralya Savunma Bakanlığı'na bağlı veriler içeriyor — muhtemelen Cisco ürün tedarikine ilişkin kayıtlar. ShinyHunters, EC2 volume'larını ve S3 bucket listesini gösteren ekran görüntüleri yayımladı.
Doğrulama durumu: Trivy bağlantılı GitHub/AWS kısmı BleepingComputer tarafından teyit edildi. 3M+ Salesforce iddiası henüz tam doğrulanmadı. Cisco resmi açıklama yapmadı. ShinyHunters daha önce aynı yöntemi Snowflake, Okta ve LastPass ihlallerinde kullandı.
▸ ÖNERİLEN AKSİYONLAR
→Salesforce OAuth bağlantılı uygulama listesini denetleyin, yetkisiz token'ları iptal edin
→Salesforce Aura (Experience Cloud) guest user erişim kontrollerini gözden geçirin — AuraInspector saldırısına karşı
→Tüm Salesforce API token'larını ve AWS key'lerini rotate edin — özellikle CI/CD'de kullanılanlar
→Dark web monitoring: ShinyHunters leak sitesini takip edin, kurumsal veri yayımlanıp yayımlanmadığını izleyin
→CI/CD pipeline'larında Trivy gibi scanner tool'larını image signature doğrulaması ile çalıştırın