В минувший понедельник, 18 мая, вредоносное приложение Megalodon атаковало платформу разработки GitHub и внесла вредоносные коммиты в более чем 5500 репозиториев.
Источник изображения: Rubaitul Azad / unsplash.com
Важнейшая функция вредоноса — кража учётных данных CI/CD. Если владелец репозитория включает коммит в проект, вредонос выполняется на серверах CI/CD и распространяется дальше, рассказали эксперты в области кибербезопасности. Megalodon осуществляет кражу других учётных данных: секретных ключей AWS, токенов Google Cloud; запрашивает метаданные инстансов AWS, Google Cloud Platform и Azure, считывает закрытые ключи SSH, конфигурации Docker и Kubernetes, конфигурации Docker и Kubernetes, токены Vault, учётные данные Terraform, а также производит сканирование исходного кода на наличие прочих закрытых данных, используя более 30 регулярных выражений.
Он извлекает токены GitHub, в том числе данные для аутентификации у облачных провайдеров и токены Bitbucket, в результате чего злоумышленники могут выдавать себя за разработчиков и получать доступ к облачным службам. Регулярные взломы GitHub ставят под угрозу безопасность каждой компании, у которой на платформе размещаются даже закрытые репозитории. Вредоносы по-прежнему попадают на серверы, и остановить их до сих пор не удаётся.
Megalodon обнаружили внутри открытой платформы Tiledesk онлайн-чатов и чат-ботов. Вредоносу не понадобилось взламывать npm-аккаунт проекта — достаточно было заразить проект на GitHub. Администратор проекта в последний раз опубликовал «чистую» версию 2.18.5, а затем, сам того не подозревая, одобрил содержащие бэкдоры версии 2.18.6 (от 19 мая) по 2.18.12 (от 21 мая). Схожие схемы атаки практикует хакерская группировка TeamPCP, но подтвердить её причастность к кампании Megalodon не удалось. Известно, что TeamPCP объявила конкурс атак на цепочки поставок, но и одним из конкурсантов создатель Megalodon тоже, вероятно, не является — по правилам, участники должны добавлять во вредоносный код открытый ключ шифрования, который подтвердил бы его авторство.
Исследователям удалось отследить активность Megalodon до двух адресов электронной почты, с которых были отправлены коммиты в общей сложности в 5561 репозиторий. Все они появились 18 мая в течение чуть более шести часов.