GitHub, nou atac major: peste 5.000 de proiecte compromise prin malware distribuit prin commit-uri false

Adaugă-ne ca sursă preferată în Google

Urmărește-ne in Discover

Platforma GitHub se confruntă cu un nou val de atacuri informatice de amploare, după ce cercetătorii în securitate au identificat peste 5.500 de repository-uri compromise prin distribuirea unui malware de tip infostealer. Campania, denumită „Megalodon”, pare să urmeze modelul utilizat anterior de gruparea TeamPCP.

Potrivit unui raport publicat de compania SafeDep, atacul vizează în special dezvoltatorii și administratorii de proiecte open-source, cu scopul de a obține date sensibile și acces la infrastructuri cloud.

Atacul pornește de la commit-uri aparent legitime

Conform cercetătorilor, actorul din spatele campaniei folosește identitatea falsă „build-bot”, prezentată ca un sistem automatizat care trimite commit-uri către proiecte GitHub.

Dacă maintainerii acceptă aceste modificări fără o verificare atentă, codul malițios ajunge direct în proiect. Malware-ul începe apoi să colecteze date sensibile și să se răspândească în alte repository-uri, într-un mecanism asemănător unui vierme informatic.

Printre informațiile vizate se numără chei AWS, token-uri Google Cloud, credențiale Azure, chei SSH private, configurații Docker și Kubernetes, token-uri Vault și date Terraform.

Riscurile cresc atunci când proiectele sunt publicate pe npm

În prima fază, victimele directe sunt administratorii proiectelor GitHub compromise. Problema devine însă mult mai gravă atunci când aceste proiecte sunt publicate ulterior pe npm, platforma utilizată pentru distribuirea pachetelor JavaScript.

SafeDep oferă exemplul proiectului Tiledesk, unde mai multe versiuni compromise au fost publicate fără ca administratorii să realizeze că sursa fusese infectată.

Versiunile 2.18.6 până la 2.18.12 au inclus cod malițios, deși contul npm utilizat pentru publicare nu fusese compromis direct. Atacatorii au modificat repository-ul GitHub, iar maintainerul a publicat ulterior pachetul infectat.

Megalodon pare să fie o campanie separată de TeamPCP

Conform informațiilor din  presă, gruparea TeamPCP, cunoscută pentru atacurile asupra ecosistemelor GitHub și npm, ar fi lansat recent o competiție de tip „supply chain attack” pe forumul Breach Forums.

Totuși, cercetătorii consideră că Megalodon nu face parte din această inițiativă și ar reprezenta o operațiune separată, inspirată de tacticile folosite anterior de TeamPCP.

Atacurile asupra lanțului software devin tot mai frecvente

Campania Megalodon evidențiază încă o dată vulnerabilitățile ecosistemelor open-source și riscurile asociate acceptării automate a modificărilor de cod din surse aparent legitime.

În ultimii ani, atacurile asupra lanțului software au devenit una dintre cele mai mari amenințări din industria IT, deoarece permit compromiterea simultană a unui număr mare de aplicații și servicii prin infectarea unei singure componente utilizate pe scară largă.