Lima ribu lima ratus enam puluh satu repositori. Itulah jumlah proyek GitHub yang terinfeksi, menurut laporan baru Security Week. Pelakunya adalah Megalodon.
Itu bukan ikan. Ini adalah serangan rantai pasokan yang terjadi pada tanggal 18 Mei. Peneliti SafeDep memaparkan rinciannya. Aktor jahat tidak menyelinap masuk secara diam-diam. Mereka menggunakan rekening sekali pakai. Identitas palsu. Nama seperti build-bot atau pipeline-bot. Nama yang dapat dipercaya untuk pekerjaan yang tidak dapat dipercaya.
Hanya dalam enam jam, kampanye otomatis menghasilkan 5,71 komitmen jahat. Banyak sekali perubahan yang harus dilakukan saat tidak ada yang melihat.
Tujuannya? Curi rahasia.
rahasia CI. Kredensial awan. kunci SSH. Token OIDC. Kode sumber. Malware tersebut menyuntikkan skrip bash berkode base64 langsung ke alur kerja GitHub Actions. Setiap kali pipeline berjalan, pipeline membuang data pengguna ke server perintah dan kontrol di 216.126.l225.12.l:8443.
StepSecurity menyebutnya apa adanya.
“Megalodon adalah Eksekusi Poison Pipeline langsung dalam buku teks (serangan d-PPE. Sebuah kelas eksploitasi CI/CD di mana seseorang dengan akses tulis menyuntikkan kode buruk langsung ke file alur kerja. Sistem CI kemudian menjalankan perintah tersebut seperti pekerja kecil yang baik.
Apakah ini benar-benar harus terjadi secepat ini? Mungkin. Kampanye otomatis tidak perlu menunggu lama. Mereka hanya mengeksekusi.
SafeDep memperingatkan semua orang yang terlibat untuk segera mengembalikan repo mereka. Audit setiap file alur kerja. Periksa sejarahnya. Cari pembuat bot palsu. Mungkin bagi sebagian orang sudah terlambat.
GitHub memposting sesuatu pada tanggal 20 Mei tentang perangkat karyawan yang disusupi. Cerita itu memiliki judul utama. Serangan Megalodon tidak. Setidaknya, belum dari GitHub.
Diam tidak selalu merupakan permintaan maaf. Terkadang itu hanya kebisingan. Anda mungkin ingin memeriksa dependensi Anda sendiri sebelum melakukan penerapan lainnya.
