Megalodonと名付けられたキャンペーンにより、GitHub上の5000以上のリポジトリが、悪意のあるCI/CDワークフローの注入によって侵害されました。攻撃者は、継続的インテグレーションおよびデプロイメントパイプラインの脆弱性を悪用し、不正なコードの実行、認証情報の窃取、またはバックドアのインストールを行います。この影響はオープンソースプロジェクトや組織に及び、接続されたシステムへの拡散リスクを増幅させています。
この脅威がCI/CDパイプラインでどのように動作するか 🦈
攻撃者は、GitHub ActionsのワークフローYAMLファイルに悪意のあるアクションを挿入します。これらのアクションは昇格された権限で実行され、保存されているトークン、環境変数、SSHキーを抽出することを可能にします。内部に侵入すると、コードはリポジトリを変更したり、統合サーバーにマルウェアを展開したり、機密データを外部に持ち出したりすることができます。パイプラインの自動化された性質により、セキュリティアラートがCI/CD設定の変更を見落としがちなため、攻撃は気付かれずに進行しやすくなります。
あなたのコードが水槽になることの楽しい側面 🐠
もしあなたのリポジトリが感染したとしても、少なくともプロジェクトの重要なアップデートをプッシュしなかったための確固たる言い訳ができました。攻撃者は認証情報を盗むだけでなく、パイプラインをめちゃくちゃにしてくれたおかげで、あなたはそれをレビューする手間も省けました。何より素晴らしいのは、彼らがトークンを漁っている間に、あなたはハードコードされたパスワードがあったことを認める代わりに、デジタルサメのせいにできることです。オープンソースの水族館へようこそ。