Cinquemilacinquecentosessantuno archivi. Ecco quanti progetti GitHub sono stati infettati, secondo un nuovo rapporto della Security Week. Il colpevole è Megalodonte.
Non è un pesce. Si tratta di un attacco alla catena di approvvigionamento avvenuto il 18 maggio. I ricercatori di SafeDep hanno illustrato i dettagli. I cattivi attori non si sono intrufolati in silenzio. Hanno usato conti usa e getta. Identità forgiate. Nomi come “build-bot” o “pipeline-bot”. Nomi affidabili per lavori inaffidabili.
In sole sei ore, una campagna automatizzata ha generato 5,71 commit dannosi. Ci sono molti cambiamenti da apportare quando nessuno guarda.
L’obiettivo? Rubare segreti.
Segreti dell’IC. Credenziali cloud. Chiavi SSH. Token OIDC. Codice sorgente. Il malware ha inserito script bash con codifica base64 direttamente nei flussi di lavoro di GitHub Actions. Ogni volta che una pipeline veniva eseguita, scaricava i dati dell’utente su un server di comando e controllo su “216.126.l225.12.l:8443”.
StepSecurity lo ha chiamato per quello che è.
“Megalodon è un attacco d-PPE diretto da manuale (Poison Pipeline Execution). Una classe di exploit CI/CD in cui qualcuno con accesso in scrittura inserisce codice dannoso direttamente nei file del flusso di lavoro. Il sistema CI esegue quindi tali comandi come un bravo piccolo lavoratore.
Doveva davvero succedere così in fretta? Probabilmente. Le campagne automatizzate non aspettano. Eseguono e basta.
SafeDep avverte tutte le persone coinvolte di ripristinare immediatamente i propri repository. Controlla ogni file del flusso di lavoro. Controlla la storia. Cerca gli autori di bot falsi. Potrebbe essere troppo tardi per alcuni.
GitHub ha pubblicato qualcosa il 20 maggio sulla compromissione del dispositivo di un dipendente. Quella storia ha un titolo. L’attacco Megalodon no. Almeno, non ancora da GitHub.
Il silenzio non è sempre una scusa. A volte è solo rumore. Potresti voler controllare le tue dipendenze prima di inviare un altro commit.
