एक अभियान जिसे मेगालोडॉन नाम दिया गया है, ने GitHub पर पाँच हज़ार से अधिक रिपॉजिटरी से समझौता किया है, जिसमें दुर्भावनापूर्ण CI/CD वर्कफ़्लो इंजेक्ट किए गए हैं। हमलावर अनधिकृत कोड निष्पादित करने, क्रेडेंशियल चुराने या बैकडोर स्थापित करने के लिए सतत एकीकरण और परिनियोजन पाइपलाइनों में कमजोरियों का शोषण करते हैं। इसका प्रभाव ओपन-सोर्स प्रोजेक्ट्स और संगठनों तक फैला हुआ है, जो जुड़े सिस्टम में प्रसार के जोखिम को बढ़ाता है।
यह खतरा CI/CD पाइपलाइनों में कैसे काम करता है 🦈
हमलावर GitHub Actions वर्कफ़्लो की YAML फ़ाइलों में दुर्भावनापूर्ण क्रियाएँ सम्मिलित करते हैं। ये क्रियाएँ उन्नत अनुमतियों के साथ निष्पादित होती हैं, जिससे संग्रहीत टोकन, पर्यावरण चर और SSH कुंजियाँ निकाली जा सकती हैं। एक बार अंदर जाने के बाद, कोड रिपॉजिटरी को संशोधित कर सकता है, एकीकरण सर्वर पर मैलवेयर तैनात कर सकता है, या संवेदनशील डेटा बाहर निकाल सकता है। पाइपलाइनों की स्वचालित प्रकृति हमले को किसी का ध्यान नहीं जाने देती, क्योंकि सुरक्षा अलर्ट आमतौर पर CI/CD कॉन्फ़िगरेशन में बदलावों को अनदेखा करते हैं।
आपके कोड के मछलीघर में बदलने का मज़ेदार पक्ष 🐠
यदि आपकी रिपॉजिटरी संक्रमित हो गई, तो कम से कम अब आपके पास प्रोजेक्ट का वह महत्वपूर्ण अपडेट अपलोड न करने का एक ठोस बहाना है। हमलावर न केवल क्रेडेंशियल चुराते हैं, बल्कि वे आपकी पाइपलाइन की समीक्षा करने का काम भी बचा देते हैं क्योंकि उन्होंने इसे पहले ही तोड़ दिया है। सबसे अच्छी बात यह है कि जब वे टोकन मछली पकड़ रहे होते हैं, तो आप यह स्वीकार करने के बजाय डिजिटल शार्क को दोष दे सकते हैं कि आपके पास हार्डकोडेड पासवर्ड थे। ओपन-सोर्स एक्वेरियम में आपका स्वागत है।