Uma campanha batizada como Megalodon comprometeu mais de cinco mil repositórios no GitHub através da injeção de fluxos de trabalho maliciosos de CI/CD. Os atacantes exploram vulnerabilidades nas pipelines de integração e implantação contínua para executar código não autorizado, roubar credenciais ou instalar portas dos fundos. O alcance afeta projetos de código aberto e organizações, amplificando o risco de propagação para sistemas conectados.
Como esta ameaça opera nas pipelines de CI/CD 🦈
Os atacantes inserem ações maliciosas nos arquivos YAML de workflows do GitHub Actions. Essas ações são executadas com permissões elevadas, permitindo extrair tokens, variáveis de ambiente e chaves SSH armazenadas. Uma vez dentro, o código pode modificar o repositório, implantar malware em servidores de integração ou exfiltrar dados sensíveis. A natureza automatizada das pipelines facilita que o ataque passe despercebido, já que os alertas de segurança geralmente ignoram mudanças em configurações de CI/CD.
O lado divertido de seu código se tornar um aquário 🐠
Se seu repositório foi infectado, pelo menos agora você tem uma desculpa sólida para não ter enviado aquela atualização crítica do projeto. Os atacantes não só roubam credenciais, como também te poupam o trabalho de revisar sua pipeline porque já a destruíram. O melhor é que, enquanto eles pescam tokens, você pode culpar o tubarão digital em vez de admitir que tinha senhas hardcodeadas. Bem-vindo ao aquário do código aberto.