Vijfduizendvijfhonderdeenenzestig opslagplaatsen. Dat is het aantal GitHub-projecten dat geïnfecteerd is geraakt, volgens een nieuw Security Week-rapport. De boosdoener is Megalodon.
Het is geen vis. Het is een supply chain-aanval die op 18 mei plaatsvond. SafeDep-onderzoekers hebben de details uiteengezet. De slechte acteurs zijn niet stilletjes binnengeslopen. Ze gebruikten wegwerprekeningen. Vervalste identiteiten. Namen zoals ‘build-bot’ of ‘pipeline-bot’. Betrouwbare namen voor onbetrouwbaar werk.
In slechts zes uur tijd heeft een geautomatiseerde campagne 5,71 kwaadaardige commits gepusht. Dat zijn veel veranderingen die moeten worden doorgevoerd als niemand kijkt.
Het doel? Geheimen stelen.
CI-geheimen. Cloud-referenties. SSH-sleutels. OIDC-tokens. Broncode. De malware injecteerde met base64 gecodeerde bash-scripts rechtstreeks in de GitHub Actions-workflows. Elke keer dat een pijplijn liep, werden gebruikersgegevens gedumpt naar een command-and-control-server op 216.126.l225.12.l:8443.
StepSecurity noemde het wat het is.
“Megalodon is een directe Poison Pipeline Execution (d-PPE-aanval) volgens het boekje. Een klasse van CI/CD-exploit waarbij iemand met schrijftoegang slechte code rechtstreeks in workflowbestanden injecteert. Het CI-systeem voert die opdrachten vervolgens uit als een goede kleine werker.
Moest het echt zo snel gebeuren? Waarschijnlijk. Geautomatiseerde campagnes wachten niet. Ze voeren gewoon uit.
SafeDep waarschuwt alle betrokkenen om hun repo’s onmiddellijk terug te draaien. Controleer elk workflowbestand. Controleer de geschiedenis. Zoek naar de valse botauteurs. Voor sommigen is het misschien te laat.
GitHub heeft op 20 mei iets gepost over het besmet raken van een werknemersapparaat. Dat verhaal heeft een kop. De Megalodon-aanval niet. In ieder geval nog niet van GitHub.
Stilte is niet altijd een verontschuldiging. Soms is het gewoon lawaai. Misschien wil je je eigen afhankelijkheden controleren voordat je een nieuwe commit pusht.
