메갈로돈(Megalodon)이라는 이름의 캠페인이 악성 CI/CD 워크플로우 주입을 통해 GitHub에서 5,000개 이상의 리포지토리를 손상시켰습니다. 공격자는 지속적 통합 및 배포 파이프라인의 취약점을 악용하여 승인되지 않은 코드를 실행하고, 자격 증명을 도용하거나, 백도어를 설치합니다. 이 공격은 오픈 소스 프로젝트와 조직에 영향을 미쳐 연결된 시스템으로의 확산 위험을 증폭시킵니다.
CI/CD 파이프라인에서 이 위협이 작동하는 방식 🦈
공격자는 GitHub Actions 워크플로우의 YAML 파일에 악성 작업을 삽입합니다. 이러한 작업은 상승된 권한으로 실행되어 저장된 토큰, 환경 변수 및 SSH 키를 추출할 수 있습니다. 일단 침투하면 코드가 리포지토리를 수정하거나, 통합 서버에 맬웨어를 배포하거나, 민감한 데이터를 유출할 수 있습니다. 파이프라인의 자동화된 특성으로 인해 보안 경고가 CI/CD 구성 변경을 종종 무시하기 때문에 공격이 눈에 띄지 않을 수 있습니다.
코드가 어항이 되어버린 재미난 상황 🐠
리포지토리가 감염되었다면, 이제 중요한 프로젝트 업데이트를 올리지 않은 것에 대한 확실한 변명이 생겼습니다. 공격자는 자격 증명을 훔칠 뿐만 아니라, 파이프라인을 이미 엉망으로 만들어 놓았기 때문에 검토할 수고도 덜어줍니다. 가장 좋은 점은, 그들이 토큰을 낚는 동안 여러분은 하드코딩된 비밀번호를 인정하는 대신 디지털 상어 탓을 할 수 있다는 것입니다. 오픈 소스 아쿠아리움에 오신 것을 환영합니다.