Исследователи SafeDep обнаружили новую волну атак на GitHub: вирус Megalodon заразил более 5 500 репозиториев, используя поддельные автоматические коммиты от имени "build-bot". Если такой коммит принимается, то вредоносный скрипт получает доступ к ключам AWS, токенам Google Cloud, SSH-ключам, конфигурациям Docker и Kubernetes, а также другим чувствительным данным.
Особую опасность атака представляет для разработчиков-создателей репозитория, но если заражённый репозиторий публикуется в npm, то под угрозой оказываются и конечные пользователи. Примером стала библиотека Tiledesk: несколько версий были выпущены с бэкдором, поскольку разработчик не заметил компрометацию исходного кода.
Эксперты по кибербезопасности отмечают, что Megalodon действует независимо от известной группы TeamPCP, хотя вдохновлён её активностью. Вредоносный скрипт распространяется по принципу «червя», заражая всё новые репозитории и расширяя охват атаки.
Система атак ориентирована на кражу секретов CI/CD (непрерывная интеграция и доставка) и может привести к компрометации облачных сервисов и инфраструктуры компаний. SafeDep опубликовала список всех затронутых репозиториев для проверки и устранения последствий.
В последнее время атаки на цепочки поставок ПО становятся всё более массовыми и требуют особого внимания со стороны разработчиков и компаний. Рекомендуется тщательно проверять коммиты, использовать двухфакторную аутентификацию и регулярно обновлять средства защиты.
