Платформа GitHub столкнулась с новой волной атак на цепочки поставок. Исследователи из компании SafeDep обнаружили вредоносную кампанию Megalodon, жертвами которой стали более 5500 репозиториев. Основная цель злоумышленников — кража конфиденциальных данных из пайплайнов CI/CD (процессов автоматизации сборки и тестирования ПО).
Механизм распространения и цели атаки
Атака организована по принципу самораспространяющегося червя. Злоумышленник под псевдонимом build-bot маскируется под автоматизированный сервис и отправляет вредоносные коммиты (предложения по изменению кода). Если владелец репозитория принимает эти правки, внедренная программа-шпион начинает сбор учетных данных и распространяется на другие связанные проекты.
В ходе мониторинга было замечено, что Megalodon нацелен на извлечение широкого спектра секретов:
- секретные ключи AWS и токены доступа Google Cloud;
- учетные данные ролей для инфраструктур AWS, GCP и Azure;
- закрытые ключи SSH;
- конфигурационные файлы Docker и Kubernetes;
- токены Vault и учетные данные Terraform.
Угроза для конечных пользователей
Несмотря на то что первичной целью являются разработчики, атака несет серьезные риски и для конечных пользователей. В обзоре приводится пример платформы Tiledesk: после компрометации репозитория на GitHub мейнтейнеры, не заметив подмены, опубликовали зараженные версии пакетов (с 2.18.6 по 2.18.12) в публичном реестре npm. Таким образом, вредоносный код попал в продукты, которые скачивают и используют другие компании и частные лица.
Эксперты подчеркивают, что в данном случае аккаунт в реестре npm не был взломан — публикация вредоносного ПО произошла из-за использования «отравленного» исходного кода на этапе разработки.
Связь с группировкой TeamPCP
По мнению аналитиков, Megalodon является подражателем хакерской группировки TeamPCP, которая ранее начала активно атаковать экосистемы GitHub и npm. Сообщается, что TeamPCP даже организовала «соревнование» по атакам на цепочки поставок на теневых форумах. Однако Megalodon, вероятнее всего, действует независимо, вдохновившись методами предшественников на фоне общего роста подобных инцидентов в индустрии.
