Cinco mil quinhentos e sessenta e um repositórios. Foi assim que muitos projetos do GitHub foram infectados, de acordo com um novo relatório da Security Week. O culpado é o Megalodonte.
Não é um peixe. É um ataque à cadeia de suprimentos ocorrido em 18 de maio. Os pesquisadores da SafeDep expuseram os detalhes. Os maus atores não entraram silenciosamente. Eles usaram contas descartáveis. Identidades forjadas. Nomes como build-bot ou pipeline-bot. Nomes confiáveis para trabalhos não confiáveis.
Em apenas seis horas, uma campanha automatizada gerou 5.71 commits maliciosos. São muitas mudanças a serem feitas quando ninguém está olhando.
O objetivo? Roube segredos.
Segredos do CI. Credenciais de nuvem. Chaves SSH. Tokens OIDC. Código fonte. O malware injetou scripts bash codificados em base64 diretamente nos fluxos de trabalho do GitHub Actions. Cada vez que um pipeline era executado, ele despejava os dados do usuário em um servidor de comando e controle em 216.126.l225.12.l:8443.
StepSecurity chamou isso do que é.
“Megalodon é um manual de execução direta de Poison Pipeline (ataque d-PPE. Uma classe de exploração de CI/CD em que alguém com acesso de gravação injeta código incorreto diretamente nos arquivos de fluxo de trabalho. O sistema CI então executa esses comandos como um bom trabalhador.
Isso realmente tinha que acontecer tão rápido? Provavelmente. As campanhas automatizadas não esperam. Eles apenas executam.
SafeDep avisa todos os envolvidos para reverterem seus repositórios imediatamente. Audite cada arquivo de fluxo de trabalho. Verifique o histórico. Procure os autores de bots falsos. Pode ser tarde demais para alguns.
O GitHub postou algo em 20 de maio sobre o comprometimento de um dispositivo de funcionário. Essa história tem uma manchete. O ataque do Megalodon não. Pelo menos, ainda não no GitHub.
O silêncio nem sempre é um pedido de desculpas. Às vezes é apenas barulho. Você pode querer verificar suas próprias dependências antes de enviar outro commit.
