Pět tisíc pět set šedesát jedna repozitářů – tolik bylo infikováno projektů na GitHubu, podle nedávné zprávy Security Week. Viníkem byl Megalodon.
Tohle není ryba. Toto je útok na dodavatelský řetězec, ke kterému došlo 18. května. Výzkumníci SafeDep zveřejnili všechny podrobnosti. Útočníci se nesnažili jednat tiše. Používali jednorázové účty s falešnými názvy jako „build-bot“ nebo „pipeline-bot“. Důvěryhodná jména pro nedůvěryhodné aktivity.
Za šest hodin odeslala automatizovaná kampaň 571 škodlivých commitů. Spousta změn, když se nikdo nedívá.
Cíl? Krádež tajemství.
Tajemství CI. Cloudové přihlašovací údaje. SSH klíče. OIDC tokeny. Zdrojový kód. Malware vložil bash skripty zakódované v base64 přímo do pracovních postupů GitHub Actions. Pokaždé, když kanál běžel, přenesl uživatelská data do příkazového a řídicího serveru na 216.126.125.12.1:8443.
StepSecurity určil, co to je.
“Megalodon je klasický přímý útok Poison Pipeline Execution (d-PPE). Jde o typ zranitelnosti CI/CD, při které někdo s přístupem k zápisu vkládá škodlivý kód přímo do souborů pracovních procesů. Systém CI pak tyto příkazy vykonává jako poslušný pracovník.”
Opravdu se všechno muselo stát tak rychle? Pravděpodobně ano. Automatizované kampaně nečekají. Jsou prostě popraveni.
SafeDep varuje každého, koho se to týká, aby okamžitě vrátil zpět své úložiště. Zkontrolujte každý soubor pracovního postupu. Studium historie. Hledejte autory botů s falešnými jmény. Pro někoho už může být pozdě.
- května GitHub zveřejnil zprávu o kompromitaci zařízení zaměstnance. Tento příběh má název. Útok megalodona – ne. Alespoň zatím ne z GitHubu.
Mlčení není vždy omluva. Někdy je to jen hluk. Možná budete chtít zkontrolovat své závislosti před odesláním dalšího potvrzení.
