Технічні деталі
18 травня шкідливий код Megalodon атакував платформу GitHub для розробки, внісши шкідливі коміти до понад 5500 репозиторіїв.
Опис шкідливого коду
Основна функція шкідливого коду — крадіж облікових даних CI/CD. Якщо власник репозиторію включає коміт до проекту, шкідливий код виконується на серверах CI/CD і поширюється далі.
Можливості Megalodon
Шкідливий код краде інші облікові дані: секретні ключі AWS, токени Google Cloud; запитує метадані екземплярів AWS, Google Cloud Platform і Azure, зчитує закриті ключі SSH, конфігурації Docker і Kubernetes, токени Vault, облікові дані Terraform, а також здійснює сканування вихідного коду на наявність інших закритих даних за допомогою більш ніж 30 регулярних виразів.
Виявлення Megalodon
Megalodon було виявлено всередині відкритої платформи Tiledesk для онлайн-чатів і чат-ботів. Шкідливому коду не потрібно було зламувати npm-акаунт проекту — досить було заразити проект на GitHub.
Наслідки атаки
Регулярні зломи GitHub ставлять під загрозу безпеку кожної компанії, яка має на платформі навіть закриті репозиторії. Шкідливі коди продовжують потрапляти на сервери, і поки що їх не вдається зупинити.