Вредонос Megalodon заразил более 5500 репозиториев на GitHub

Масштабная кампания по компрометации репозиториев GitHub, зафиксированная 18 мая, затронула более 5500 проектов. Вредоносное ПО, получившее название Megalodon, ориентировано на эксплуатацию CI/CD-пайплайнов с целью извлечения критически важных учетных данных. Механика заражения строится на внесении вредоносных коммитов: как только владелец репозитория подтверждает слияние такого кода, исполняемый файл активируется на серверах CI/CD, запуская цепочку дальнейшего распространения внутри инфраструктуры.

Механизмы кражи данных и векторы атаки

Megalodon представляет собой продвинутый инструмент для сбора конфиденциальной информации. В арсенале вредоноса присутствует сканер исходного кода, использующий более 30 регулярных выражений для поиска закрытых токенов и ключей. Если коротко, программа ищет всё, что может дать доступ к облачной среде: секретные ключи AWS, токены Google Cloud и Bitbucket, а также учетные данные Terraform. Кроме того, Megalodon извлекает SSH-ключи, токены Vault и конфигурационные файлы Docker и Kubernetes. Параллельно с этим вредонос запрашивает метаданные инстансов в AWS, GCP и Azure, что позволяет злоумышленникам эффективно имитировать действия разработчиков и получать легитимный доступ к облачным ресурсам компании.

Точка входа и инцидент с Tiledesk

Впервые активность была замечена в проекте Tiledesk, предназначенном для создания чат-ботов и онлайн-чатов. Примечательно, что злоумышленникам не потребовалось получать доступ к учетной записи npm или взламывать инфраструктуру репозитория напрямую. Атака прошла через GitHub: администратор проекта, скомпрометировав процесс разработки через принятие вредоносных правок, неосознанно одобрил выпуск версий с 2.18.6 по 2.18.12. Последней легитимной итерацией осталась сборка 2.18.5, выпущенная до начала волны коммитов.

Атрибуция и особенности кампании

Исследователи, анализирующие действия Megalodon, обратили внимание на сходство методов с тактиками группировки TeamPCP. Последние ранее анонсировали конкурс на поиск уязвимостей в цепочках поставок, однако прямых доказательств участия создателя Megalodon в этих соревнованиях нет. Проще говоря, правила конкурса требуют обязательного внедрения открытого ключа шифрования для подтверждения авторства кода, чего в структуре Megalodon обнаружено не было. Экспертам удалось проследить активность до двух e-mail адресов, с которых в течение шести часов 18 мая было отправлено более 5560 вредоносных коммитов в различные репозитории.