Cinco mil quinientos sesenta y un repositorios. Esa es la cantidad de proyectos de GitHub que se infectaron, según un nuevo informe de Security Week. El culpable es Megalodon.
No es un pez. Es un ataque a la cadena de suministro que se produjo el 18 de mayo. Los investigadores de SafeDep expusieron los detalles. Los malos actores no entraron silenciosamente. Usaron cuentas desechables. Identidades falsificadas. Nombres como build-bot o pipeline-bot. Nombres confiables para trabajos no confiables.
En solo seis horas, una campaña automatizada impulsó 5,71 confirmaciones maliciosas. Son muchos cambios que hacer cuando nadie está mirando.
¿El objetivo? Robar secretos.
Secretos de CI. Credenciales de la nube. Claves SSH. Fichas OIDC. Código fuente. El malware inyectó scripts bash codificados en base64 directamente en los flujos de trabajo de GitHub Actions. Cada vez que se ejecutaba una canalización, descargaba datos del usuario a un servidor de comando y control en 216.126.l225.12.l:8443.
StepSecurity lo llamó como es.
“Megalodon es un libro de texto de ejecución directa de Poison Pipeline (ataque d-PPE). Una clase de exploit CI/CD donde alguien con acceso de escritura inyecta código incorrecto directamente en archivos de flujo de trabajo. Luego, el sistema CI ejecuta esos comandos como un buen trabajador.
¿Realmente tenía que suceder tan rápido? Probablemente. Las campañas automatizadas no esperan. Simplemente ejecutan.
SafeDep advierte a todos los involucrados que reviertan sus repositorios de inmediato. Audite cada archivo de flujo de trabajo. Consulta el historial. Busque los autores de bots falsos. Puede que para algunos sea demasiado tarde.
GitHub publicó algo el 20 de mayo sobre el dispositivo de un empleado que se vio comprometido. Esa historia tiene un titular. El ataque del Megalodón no. Al menos, todavía no desde GitHub.
El silencio no siempre es una disculpa. A veces es sólo ruido. Es posible que desee verificar sus propias dependencias antes de realizar otra confirmación.
