Исследователи безопасности из Safedep обнаружили автоматизированную атаку на цепочку поставок под названием Megalodon, в ходе которой в течение нескольких часов в тысячи репозиториев GitHub была внедрена бэкдор. В сообщении в блоге исследователей(открывается в новом окне) говорится о 5 556 репозиториях, которые, предположительно, были скомпрометированы с помощью 5 718 вредоносных коммитов. Среди пострадавших, вероятно, оказалась и чат-платформа Tiledesk(открывается в новом окне) .
В своей статье исследователи предоставляют список всех затронутых репозиториев кода, а также вредоносных коммитов. Все коммиты были сделаны 18 мая в течение примерно шестичасового окна (с 13:36 до 19:48 по немецкому времени) и внедряют рабочие процессы GitHub Actions с Bash-скриптом, закодированным в Base64.
Цель скрипта — собирать учетные данные и другую конфиденциальную информацию и передавать их на сервер, контролируемый злоумышленником. В качестве примеров исследователи приводят, среди прочего, облачные учетные данные (например, для AWS и GCP), SSH-ключи, API-ключи, токены Gitlab, Bitbucket и OpenID Connect, переменные окружения CI, конфигурационные данные Docker и Kubernetes, а также историю ввода команд в оболочке.
Затронуто несколько версий сервера Tiledesk
По словам исследователей Safedep, они узнали об атаке после компрометации NPM-пакетов Tiledesk. В частности, предположительно, затронуты версии сервера Tiledesk с 2.18.6 по 2.18.12, которые содержат «спящую бэкдор», которую «злоумышленник может активировать по мере необходимости через GitHub API». Соответствующий коммит можно просмотреть на GitHub(открывается в новом окне) . Бэкдор, вероятно, активируется с помощью события workflow_dispatch(открывается в новом окне) .
Все вредоносные коммиты были сделаны авторами build-bot, auto-ci, ci-bot и pipeline-bot. В качестве адресов электронной почты указаны build-system@noreply.dev или ci-bot@automated.dev. Исследователи Safedep рекомендуют разработчикам проверить свои проекты GitHub на наличие коммитов от этих авторов и, при необходимости, откатить изменения.
«Проверьте свои файлы рабочих процессов и измените все секреты, доступные для раннеров GitHub Actions. Кроме того, проверьте свою вкладку Actions на предмет неожиданных запусков workflow_dispatch», — дополняют исследователи. Дополнительные рекомендации и индикаторы компрометации можно найти в сообщении в блоге исследователей(открывается в новом окне) .