Fünftausendfünfhunderteinundsechzig Repositories. Laut einem neuen Bericht der Security Week wurden so viele GitHub-Projekte infiziert. Der Übeltäter ist Megalodon.
Es ist kein Fisch. Es handelt sich um einen Lieferkettenangriff, der am 18. Mai stattfand. SafeDep-Forscher legten die Einzelheiten dar. Die schlechten Schauspieler haben sich nicht leise eingeschlichen. Sie nutzten Wegwerfkonten. Gefälschte Identitäten. Namen wie „Build-Bot“ oder „Pipeline-Bot“. Vertrauenswürdige Namen für nicht vertrauenswürdige Arbeit.
In nur sechs Stunden führte eine automatisierte Kampagne zu 5.71 böswilligen Commits. Das sind viele Änderungen, die man vornehmen muss, wenn niemand hinschaut.
Das Ziel? Geheimnisse stehlen.
CI-Geheimnisse. Cloud-Anmeldeinformationen. SSH-Schlüssel. OIDC-Token. Quellcode. Die Malware injizierte Base64-codierte Bash-Skripte direkt in GitHub Actions-Workflows. Jedes Mal, wenn eine Pipeline ausgeführt wurde, wurden Benutzerdaten an einen Befehls- und Kontrollserver unter „216.126.l225.12.l:8443“ übergeben.
StepSecurity hat es so genannt, wie es ist.
„Megalodon ist ein direkter Poison Pipeline Execution (d-PPE)-Angriff wie aus dem Lehrbuch. Eine Klasse von CI/CD-Exploit, bei dem jemand mit Schreibzugriff fehlerhaften Code direkt in Workflow-Dateien einfügt. Das CI-System führt diese Befehle dann wie ein guter kleiner Arbeiter aus.“
Musste es wirklich so schnell gehen? Wahrscheinlich. Automatisierte Kampagnen warten nicht. Sie führen einfach aus.
SafeDep warnt alle Beteiligten, ihre Repos sofort zurückzusetzen. Prüfen Sie jede Workflow-Datei. Überprüfen Sie den Verlauf. Suchen Sie nach den Fake-Bot-Autoren. Für einige könnte es zu spät sein.
GitHub hat am 20. Mai etwas über die Kompromittierung eines Mitarbeitergeräts gepostet. Diese Geschichte hat eine Schlagzeile. Beim Megalodon-Angriff ist dies nicht der Fall. Zumindest noch nicht von GitHub.
Schweigen ist nicht immer eine Entschuldigung. Manchmal ist es nur Lärm. Möglicherweise möchten Sie Ihre eigenen Abhängigkeiten überprüfen, bevor Sie einen weiteren Commit pushen.
