Кампания под названием Megalodon скомпрометировала более пяти тысяч репозиториев на GitHub путем внедрения вредоносных CI/CD-пайплайнов. Злоумышленники используют уязвимости в конвейерах непрерывной интеграции и развертывания для выполнения несанкционированного кода, кражи учетных данных или установки бэкдоров. Масштаб атаки затрагивает проекты с открытым исходным кодом и организации, увеличивая риск распространения на связанные системы.
Как эта угроза действует в CI/CD-пайплайнах 🦈
Злоумышленники вставляют вредоносные действия в YAML-файлы рабочих процессов GitHub Actions. Эти действия выполняются с повышенными привилегиями, что позволяет извлекать токены, переменные окружения и SSH-ключи. Попав внутрь, код может изменять репозиторий, развертывать вредоносное ПО на серверах интеграции или похищать конфиденциальные данные. Автоматизированный характер пайплайнов позволяет атаке оставаться незамеченной, так как предупреждения безопасности часто игнорируют изменения в конфигурациях CI/CD.
Забавная сторона того, что ваш код превращается в аквариум 🐠
Если ваш репозиторий был заражен, теперь у вас есть веское оправдание, чтобы не загружать то критическое обновление проекта. Злоумышленники не только крадут учетные данные, но и избавляют вас от необходимости проверять свой пайплайн, потому что они уже разнесли его в клочья. Самое замечательное, что пока они ловят токены, вы можете винить цифровую акулу вместо того, чтобы признать, что у вас были захардкоженные пароли. Добро пожаловать в аквариум с открытым исходным кодом.