Новая крупная атака на GitHub: Megalodon заразил более 5 000 репозиториев через фальшивые коммиты
Исследователи SafeDep обнаружили новую волну атак на GitHub: вирус Megalodon заразил более 5 500 репозиториев, используя поддельные автоматические коммиты от имени «build-bot». Если такой коммит принимается, то вредоносный скрипт получает доступ к ключам AWS, токенам Google Cloud, SSH-ключам, конфигурациям Docker и Kubernetes, а также другим чувствительным данным.
Особую опасность атака представляет для разработчиков-создателей репозитория, но если заражённый репозиторий публикуется в npm, то под угрозой оказываются и конечные пользователи. Примером стала библиотека Tiledesk: несколько версий были выпущены с бэкдором, поскольку разработчик не заметил компрометацию исходного кода.
Иллюстрация: Nano BananaЭксперты по кибербезопасности отмечают, что Megalodon действует независимо от известной группы TeamPCP, хотя вдохновлён её активностью. Вредоносный скрипт распространяется по принципу «червя», заражая всё новые репозитории и расширяя охват атаки.
Система атак ориентирована на кражу секретов CI/CD (непрерывная интеграция и доставка) и может привести к компрометации облачных сервисов и инфраструктуры компаний. SafeDep опубликовала список всех затронутых репозиториев для проверки и устранения последствий.
В последнее время атаки на цепочки поставок ПО становятся всё более массовыми и требуют особого внимания со стороны разработчиков и компаний. Рекомендуется тщательно проверять коммиты, использовать двухфакторную аутентификацию и регулярно обновлять средства защиты.
© iXBT
