Una campagna battezzata Megalodon ha compromesso più di cinquemila repository su GitHub tramite l'iniezione di flussi di lavoro CI/CD dannosi. Gli aggressori sfruttano vulnerabilità nelle pipeline di integrazione e distribuzione continua per eseguire codice non autorizzato, rubare credenziali o installare backdoor. La portata colpisce progetti open source e organizzazioni, amplificando il rischio di propagazione a sistemi connessi.
Come opera questa minaccia nelle pipeline CI/CD 🦈
Gli aggressori inseriscono azioni dannose nei file YAML dei flussi di lavoro di GitHub Actions. Queste azioni vengono eseguite con permessi elevati, consentendo di estrarre token, variabili d'ambiente e chiavi SSH memorizzate. Una volta dentro, il codice può modificare il repository, distribuire malware sui server di integrazione o esfiltrare dati sensibili. La natura automatizzata delle pipeline facilita il passaggio inosservato dell'attacco, poiché gli avvisi di sicurezza spesso ignorano le modifiche alle configurazioni CI/CD.
Il lato divertente del tuo codice che diventa un acquario 🐠
Se il tuo repository è stato infettato, almeno ora hai una solida scusa per non aver caricato quell'aggiornamento critico del progetto. Gli aggressori non solo rubano credenziali, ma ti risparmiano anche il lavoro di revisionare la tua pipeline perché l'hanno già fatta a pezzi. La parte migliore è che, mentre loro pescano token, tu puoi incolpare lo squalo digitale invece di ammettere che avevi password hardcoded. Benvenuto nell'acquario dell'open source.