Si no sabés por dónde podrían entrar, ya están adentro.
El ataque Megalodon a GitHub tiene como objetivo 5.561 repositorios con flujos de trabajo de CI/CD maliciosos.
Investigadores de ciberseguridad han revelado detalles de una nueva campaña automatizada llamada Megalodon que ha introducido 5.718 confirmaciones maliciosas en 5.561 repositorios de GitHub en un lapso de seis horas.
“Utilizando cuentas desechables e identidades de autor falsificadas (build-bot, auto-ci, ci-bot, pipeline-bot), el atacante inyectó flujos de trabajo de GitHub Actions que contenían cargas útiles bash codificadas en base64 que extraían secretos de CI, credenciales en la nube, claves SSH, tokens OIDC y secretos de código fuente a un servidor C2 en 216.126.225.129:8443”, dijo SafeDep en un informe.
“El atacante alternó entre cuatro nombres de autor (build-bot, auto-ci, ci-bot, pipeline-bot) y siete mensajes de confirmación, todos imitando el mantenimiento rutinario de CI”, dijo SafeDep. “El atacante usó cuentas desechables de GitHub con nombres de usuario aleatorios de 8 caracteres (por ejemplo, rkb8el9r, bhlru9nr, lo6wt4t6), configuró git config para falsificar la identidad del autor y envió los cambios a través de PAT o claves de despliegue comprometidas”.
Se han observado dos variantes de carga útil como parte de la campaña a gran escala: SysDiag, una variante masiva que agrega un nuevo flujo de trabajo que se activa con cada solicitud push y pull, y Optimize-Build, una variante dirigida que se activa solo con workflow_dispatch , un activador de GitHub Actions que permite a los usuarios ejecutar manualmente un flujo de trabajo bajo demanda. En el caso de Tiledesk, el enfoque dirigido se utiliza para atacar a los ejecutores de CI/CD, y no cuando se instala el paquete npm.
