- Los investigadores de SafeDep descubren Megalodon, una campaña inspirada en TimPCP que infecta más de 5500 repositorios de GitHub dirigidos a secretos de CI/CD por InfoStellar
- Los ataques tipo gusano se propagan a través de confirmaciones maliciosas de un “bot de construcción” falso, que roba claves de la nube, credenciales SSH y configuraciones de DevOps, paquetes NPM como TileDesk liberados inadvertidamente de repositorios envenenados.
- A diferencia de la “competencia” del foro TeamPCP, Megalodon parece ser un actor imitador independiente inspirado en recientes ataques a la cadena de suministro, lo que plantea riesgos tanto para los mantenedores como para los usuarios intermedios.
Parece que tenemos nuestro primer imitador de TeamPCP y se llama Megalodon.
A finales de la semana pasada, los investigadores de seguridad SafeDep informaron que más de 5.500 repositorios de GitHub fueron infectados por una infostellar que secuestró todo tipo de secretos de los canales de CI/CD de los desarrolladores víctimas.
En un informe detallado publicado en su blog, SafeDep explicó que el ataque comienza con promesas maliciosas enviadas. El actor de amenazas, conocido como “build-bot”, es un bot que envía confirmaciones automáticamente. Si el mantenedor acepta estas confirmaciones, realizadas por InfoStellar, pueden capturar todo tipo de secretos antes de propagarlos a otros repositorios al estilo clásico de Worm.
Entre otras cosas, se ha descubierto que Megalodon obtiene claves secretas de AWS y tokens de acceso a la nube de Google, certificados de rol de instancia de AWS, GCP y Azure, claves privadas SSH, configuraciones de Docker y Kubernetes, tokens de bóveda, certificados Terraform y más.
Empujar a npm
En esta etapa del ataque, sólo los mantenedores de GitHub están en riesgo. Sin embargo, si trasladan su repositorio a npm, lo que muchos hacen, los usuarios finales también pueden verse comprometidos. SafeDep detalla cómo les sucedió este escenario a los mantenedores de TileDesk:
“Las versiones 2.18.6 (19 de mayo) a 2.18.12 (21 de mayo) tienen todas la puerta trasera. La misma cuenta de npm, eljohnny (giovanni@tiledesk.com), lanzó tanto la versión limpia 2.18.5 como la versión comprometida. El atacante nunca la tocó, mantuvieron la cuenta de npm y crearon los repositorios de npm. La fuente del veneno no se dio cuenta”.
En su escrito, The Register dijo que TimPCP, el actor de amenazas que ahora se sabe que apunta a GitHub y NPM, lanzó recientemente un “concurso de ataque a la cadena de suministro” en el foro Breach, pero enfatizó que Megalodon probablemente no sea parte de ese concurso.
En cambio, parece ser un actor de amenazas completamente independiente que se inspiró en las actividades de TeamPCP para lanzar su propia campaña maliciosa.
Una lista completa de repositorios comprometidos está disponible este es el enlace.
a través de Registro
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
