Eine Kampagne namens Megalodon hat mehr als fünftausend Repositories auf GitHub kompromittiert, indem sie bösartige CI/CD-Workflows injizierte. Die Angreifer nutzen Schwachstellen in den Pipelines für kontinuierliche Integration und Bereitstellung aus, um nicht autorisierten Code auszuführen, Anmeldeinformationen zu stehlen oder Hintertüren zu installieren. Der Umfang betrifft Open-Source-Projekte und Organisationen und erhöht das Risiko der Ausbreitung auf verbundene Systeme.
Wie diese Bedrohung in CI/CD-Pipelines operiert 🦈
Die Angreifer fügen bösartige Aktionen in die YAML-Dateien von GitHub Actions-Workflows ein. Diese Aktionen werden mit erhöhten Berechtigungen ausgeführt, sodass sie gespeicherte Tokens, Umgebungsvariablen und SSH-Schlüssel extrahieren können. Einmal im System, kann der Code das Repository modifizieren, Malware auf Integrationsservern bereitstellen oder sensible Daten exfiltrieren. Der automatisierte Charakter der Pipelines erleichtert es, dass der Angriff unbemerkt bleibt, da Sicherheitswarnungen Änderungen an CI/CD-Konfigurationen oft ignorieren.
Die lustige Seite, wenn dein Code zum Aquarium wird 🐠
Wenn dein Repository infiziert wurde, hast du jetzt zumindest eine solide Ausrede, warum du dieses kritische Projekt-Update nicht hochgeladen hast. Die Angreifer stehlen nicht nur Anmeldeinformationen, sie ersparen dir auch die Arbeit, deine Pipeline zu überprüfen, weil sie sie bereits in Stücke gerissen haben. Das Beste ist: Während sie Tokens angeln, kannst du dem digitalen Hai die Schuld geben, anstatt zuzugeben, dass du hartcodierte Passwörter hattest. Willkommen im Aquarium der Open Source.