La semaine dernière, une campagne d’attaque de grande ampleur rare a été détectée sur la plateforme GitHub. Baptisée Megalodon par les chercheurs en sécurité de SafeDep, cette campagne a compromis 5 561 dépôts en seulement six heures.
L’opération a reposé sur l’injection de 5 718 commits malveillants, utilisant de fausses identités de bots pour paraître légitime et s’intégrer discrètement dans les workflows des développeurs.
Comment cette attaque a-t-elle pu se propager si rapidement ?
L’efficacité de Megalodon repose sur une technique d’attaque par Poisoned Pipeline Execution. Les attaquants ont exploité des dépôts avec une protection de branche faible, leur permettant de pousser directement du code malveillant sans passer par une revue de pull request, une validation pourtant essentielle à la sécurité.
Les commits, déguisés en mises à jour de maintenance CI pour l’intégration continue et signés par des bots factices comme » build-bot » ou » ci-bot « , ont modifié les fichiers de workflow GitHub Actions.
Ces fichiers contiennent des scripts encodés en base64 conçus pour exfiltrer une gamme de données sensibles lors des processus de conception et de déploiement automatisés.
Quelles données étaient ciblées et exfiltrées ?
Une fois exécuté, le malware exfiltrait toutes les variables d’environnement, les identifiants AWS, GCP et Azure, les clés SSH privées, les configurations Docker et Kubernetes, ainsi que des dizaines d’autres types de secrets.
Les données volées étaient ensuite compressées et envoyées via une requête HTTPS POST vers un serveur de commande et de contrôle. Les attaquants ont utilisé deux variantes du malware.
L’une s’activait à chaque modification du code, tandis que l’autre était une porte dérobée dormante, activable à la demande via l’API de GitHub pour une plus grande discrétion.
La sécurité de la chaîne d’approvisionnement
Avec l’attaque Megalodon, le dépôt GitHub de la plateforme open source de chatbot Tiledesk a été compromis, et le mainteneur a publié sans s’en rendre compte des versions infectées sur le registre NPM, propageant ainsi le malware aux utilisateurs finaux.
Des experts en cybersécurité continuent de tirer la sonnette d’alarme au sujet des attaques de la chaîne d’approvisionnement, et s’inquiètent d’un nombre d’attaques qui ne fera qu’augmenter.