L’attaque Megalodon GitHub cible 5 561 dépôts avec des flux de travail CI/CD malveillants

The Hacker News - TheHackerNews - 22/05
Megalodon a poussé 5 718 commits GitHub malveillants en 6 heures, exposant ainsi les secrets CI et les informations d'identification cloud à grande échelle.

Des chercheurs en cybersécurité ont divulgué les détails d'une nouvelle campagne automatisée appelée Megalodon qui a poussé 5 718 commits malveillants vers 5 561 référentiels GitHub en six heures.

"À l'aide de comptes jetables et de fausses identités d'auteur (build-bot, auto-ci, ci-bot, pipeline-bot), l'attaquant a injecté des flux de travail GitHub Actions contenant des charges utiles bash codées en base64 qui exfiltrent les secrets CI, les informations d'identification cloud, les clés SSH, les jetons OIDC et les secrets du code source vers un serveur C2 à l'adresse 216.126.225[.]129:8443", a déclaré SafeDep dans un rapport.

La liste complète des données récoltées par le malware est ci-dessous -

  • Variables d'environnement CI, /proc/*/environ et environnement PID 1
  • Informations d'identification Amazon Web Services (AWS)
  • Jetons d'accès Google Cloud
  • Informations d'identification du rôle d'instance obtenues en interrogeant les points de terminaison AWS IMDSv2, les métadonnées Google Cloud et Microsoft Azure Instance Metadata Service (IMDS).
  • Clés privées S...
    [Courte citation de 8% de l'article original]
Loading...