Cercetătorii SafeDep: atacul „Megalodon” a infectat peste 5.500 de depozite GitHub cu commit-uri malițioase - fură secrete CI/CD și poate ajunge în pachete npm publicate din surse compromise

Un atac de tip „supply chain” pe GitHub poate ajunge rapid la utilizatori prin pachete npm , după ce o campanie numită Megalodon a infectat peste 5.500 de depozite cu commit-uri malițioase, potrivit TechRadar . Miza operațională pentru companii este expunerea secretelor din fluxurile CI/CD (integrare și livrare continuă), care pot deschide acces la infrastructură cloud și la medii de producție. Cum funcționează atacul și de ce e greu de prins Cercetătorii SafeDep descriu Megalodon ca o campanie „inspirată” de TeamPCP , care pornește de la un commit malițios trimis de un actor ce se prezintă drept un „build-bot” (un cont care mimează un robot de build ce face modificări automate). Dacă un maintainer acceptă commit-ul, codul introduce un infostealer (malware care fură date) și începe să se propage către alte depozite „în stil vierme”, adică prin replicare automată. Ținta principală sunt secretele din pipeline-urile DevOps, adică acele chei și tokenuri care permit automatizărilor să acceseze servicii critice. Ce date sunt vizate: chei cloud, acces SSH și configurații DevOps În observațiile SafeDep, Megalodon a urmărit să colecteze, între altele: chei secrete AWS și tokenuri de acces Google Cloud; credențiale de tip „instance role” din AWS, Google Cloud și Azure; chei private SSH; configurații Docker și Kubernetes; tokenuri Vault și credențiale Terraform. Pentru organizații, compromiterea acestor date poate însemna acces neautorizat la resurse cloud, modificări în infrastructură și risc de extindere laterală în rețea. De la maintaineri la utilizatori: riscul de propagare prin npm În etapa inițială, expuși sunt în primul rând maintainerii de pe GitHub. Riscul se extinde însă către utilizatori dacă proiectele compromise sunt publicate mai departe în npm (registrul de pachete folosit frecvent în ecosistemul JavaScript), deoarece pachetele pot ajunge în aplicații ale terților. SafeDep oferă exemplul Tiledesk, unde versiunile 2.18.6 (19 mai) până la 2.18.12 (21 mai) „conțin backdoor-ul”, iar publicarea s-a făcut din aceeași cont npm ca și versiunea curată 2.18.5, fără ca atacatorul să fi preluat contul npm. Concluzia cercetătorilor: depozitul GitHub a fost compromis, iar maintainerul a publicat din sursa „otrăvită” fără să își dea seama. „Atacatorul nu a atins niciodată contul npm. Au compromis depozitul GitHub, iar maintainerul a publicat din sursa infectată fără să realizeze.” Context: copycat după TeamPCP și listă de repo-uri compromise TechRadar notează că Megalodon pare a fi un actor separat, de tip „copycat”, nu neapărat parte din inițiativa TeamPCP menționată de The Register, care a scris despre o „competiție” de atacuri asupra lanțului de aprovizionare (supply chain) pe Breach Forums. Lista completă a depozitelor compromise este publicată de SafeDep în raportul său (linkul indicat în articol). [...]