Une campagne baptisée Megalodon a compromis plus de cinq mille dépôts GitHub en injectant des workflows CI/CD malveillants. Les attaquants exploitent des vulnérabilités dans les pipelines d'intégration et de déploiement continu pour exécuter du code non autorisé, voler des identifiants ou installer des portes dérobées. L'ampleur de l'attaque affecte des projets open source et des organisations, amplifiant le risque de propagation aux systèmes connectés.
Comment cette menace opère dans les pipelines CI/CD 🦈
Les attaquants insèrent des actions malveillantes dans les fichiers YAML des workflows GitHub Actions. Ces actions s'exécutent avec des privilèges élevés, permettant d'extraire des jetons, des variables d'environnement et des clés SSH stockées. Une fois à l'intérieur, le code peut modifier le dépôt, déployer des logiciels malveillants sur les serveurs d'intégration ou exfiltrer des données sensibles. La nature automatisée des pipelines facilite la discrétion de l'attaque, car les alertes de sécurité ignorent souvent les modifications des configurations CI/CD.
Le côté amusant de voir votre code se transformer en aquarium 🐠
Si votre dépôt a été infecté, vous avez au moins une excuse solide pour ne pas avoir soumis cette mise à jour critique du projet. Les attaquants ne se contentent pas de voler des identifiants, ils vous évitent aussi le travail de vérifier votre pipeline, car ils l'ont déjà mise en pièces. Le mieux, c'est que pendant qu'ils pêchent des jetons, vous pouvez blâmer le requin numérique au lieu d'admettre que vous aviez des mots de passe en dur. Bienvenue dans l'aquarium de l'open source.