П’ять тисяч п’ятсот шістдесят один репозиторій – саме стільки проектів на GitHub було заражено, згідно з свіжим звітом Security Week. Винуватцем став Megalodon.
Це не риба. Це атака на ланцюжок поставок, що стався 18 травня. Дослідники із SafeDep виклали всі деталі. Зловмисники не намагалися діяти тихо. Вони використовували одноразові акаунти з підробленими іменами на кшталт ‘build-bot’ або ‘pipeline-bot’. Надійні назви для ненадійної діяльності.
За шість годин автоматизована кампанія відправила 571 шкідливий коміт. Багато змін коли ніхто не дивиться.
Ціль? Крадіжка секретів.
Секрети CI. Хмарні облікові дані. SSH-ключі. OIDC-токени. Вихідний код. Шкідливе програмне забезпечення впровадило base64-кодовані bash-скрипти прямо в робочі процеси GitHub Actions. Щоразу, коли запускався пайплайн, він передавав дані користувачів на сервер управління та контролю за адресою 216.126.125.12.1:8443.
StepSecurity визначила, що це таке.
“Megalodon – класична пряма атака Poison Pipeline Execution (d-PPE). Це тип вразливості CI/CD, при якому хтось із правами запису вставляє шкідливий код безпосередньо у файли робочих процесів. Потім CI-система виконує ці команди як слухняний працівник.
Чи справді все мало статися так швидко? Мабуть, так. Автоматизовані кампанії не чекають. Вони просто виконуються.
SafeDep попереджає всіх порушених негайно відкотити свої репозиторії. Перевірте кожний файл робочого процесу. Вивчіть історію. Шукайте авторів-ботів із підробленими іменами. Для деяких може бути занадто пізно.
20 травня GitHub опублікував повідомлення про компрометацію пристрою співробітника. Ця історія має заголовок. Атака Megalodon – ні. Принаймні від GitHub поки що немає.
Мовчання не завжди вибачення. Іноді це просто галас. Можливо, вам варто перевірити свої залежності, перш ніж надсилати наступний коміт.
