Ataque compromete mais de 5.500 repositórios

Mais de 5.500 repositórios GitHub foram comprometidos numa campanha de supply chain attack designada ‘Megalodon’, segundo investigadores da SafeDep.

O ataque baseou-se na injeção automatizada de workflows GitHub Actions contendo payloads destinados ao roubo de credenciais, tokens, chaves privadas e outros segredos utilizados em ambientes CI/CD. Segundo a SafeDep, os atacantes executaram mais de 5.700 commits maliciosos num período de cerca de seis horas, a 18 de maio, afetando 5.561 repositórios distintos.

Os investigadores identificaram dois payloads principais. Um deles criava novos workflows executados automaticamente em cada push ou pull request. O segundo substituía workflows existentes por versões manipuladas com triggers específicas, funcionando como backdoors adormecidas.

Uma vez executado, o malware exfiltrava variáveis de ambiente CI, credenciais AWS, tokens GCP, credenciais Azure, chaves SSH privadas, configurações Docker e Kubernetes, API keys, strings de ligação a bases de dados e tokens GitHub Actions e GitLab CI/CD.

A campanha foi descoberta após a identificação de versões comprometidas do pacote Tiledesk, uma plataforma open source de live chat e chatbot publicada em NPM.

Segundo a SafeDep, os atacantes não comprometeram diretamente a conta NPM do maintainer. Em vez disso, comprometeram o repositório GitHub associado, levando o responsável a publicar versões contaminadas sem detetar a alteração.

O commit malicioso foi assinado por um utilizador identificado como ‘build-bot’. A investigação permitiu identificar 5.718 commits associados a dois endereços de email diferentes, todos executados no mesmo dia.

A SafeDep refere ainda que os atacantes utilizaram o workflow ‘workflow_dispatch’ para contornar mecanismos de proteção do GitHub. Esta abordagem permite ativar remotamente backdoors através da API GitHub usando tokens previamente roubados.

O ataque surge poucos dias após o NPM invalidar tokens de acesso granular com permissões de escrita e bypass de autenticação multifator, numa tentativa de reduzir ataques supply chain semelhantes ao incidente Mini Shai-Hulud.