逾 5500 个 GitHub 仓库在一场供应链攻击中遭感染,攻击规模和损失评估
安全研究人员警告称,在一次依赖自动化提交(automated commits)的供应链攻击中,已有超过5500个GitHub代码库感染了恶意软件。此次名为“巨齿鲨”(Megalodon)的攻击活动,利用了包含恶意有效载荷(payload)的GitHub Actions工作流,旨在窃取凭据、密钥、令牌及其他机密信息。
在 5 月 18 日的一个六小时窗口期内,攻击者通过向受影响的代码库推送了超过 5700 次恶意提交,成功注入了这些工作流。
攻击者在此次攻击中部署了两种有效载荷:
· 触发式有效载荷: 旨在添加一个新的工作流,该工作流会在每次代码推送(push)和拉取请求(pull request)时被触发。
· 后门式有效载荷: 替换了具有特定触发器的现有工作流,从而创建了休眠后门。
目标数据外传
在受感染的机器上,该恶意软件会窃取并外传(exfiltrate)以下敏感信息:
CI 环境变量
AWS 凭据与 GCP 访问令牌
Azure 凭据
SSH 私钥
Docker 和 Kubernetes 配置
API 密钥与数据库连接字符串
GitHub Actions 令牌与 GitLab CI/CD 令牌
以及数十种其他类型的机密信息类型的机密信息
在开源实时聊天和聊天机器人平台 Tiledesk 包的恶意版本被识别后,“巨齿鲨”攻击才浮出水面。受感染的包发布于 5 月 19 日至 5 月 21 日期间。
—— SecurityWeek
安全研究人员警告称,在一次依赖自动化提交(automated commits)的供应链攻击中,已有超过5500个GitHub代码库感染了恶意软件。此次名为“巨齿鲨”(Megalodon)的攻击活动,利用了包含恶意有效载荷(payload)的GitHub Actions工作流,旨在窃取凭据、密钥、令牌及其他机密信息。
在 5 月 18 日的一个六小时窗口期内,攻击者通过向受影响的代码库推送了超过 5700 次恶意提交,成功注入了这些工作流。
攻击者在此次攻击中部署了两种有效载荷:
· 触发式有效载荷: 旨在添加一个新的工作流,该工作流会在每次代码推送(push)和拉取请求(pull request)时被触发。
· 后门式有效载荷: 替换了具有特定触发器的现有工作流,从而创建了休眠后门。
目标数据外传
在受感染的机器上,该恶意软件会窃取并外传(exfiltrate)以下敏感信息:
CI 环境变量
AWS 凭据与 GCP 访问令牌
Azure 凭据
SSH 私钥
Docker 和 Kubernetes 配置
API 密钥与数据库连接字符串
GitHub Actions 令牌与 GitLab CI/CD 令牌
以及数十种其他类型的机密信息类型的机密信息
在开源实时聊天和聊天机器人平台 Tiledesk 包的恶意版本被识别后,“巨齿鲨”攻击才浮出水面。受感染的包发布于 5 月 19 日至 5 月 21 日期间。
—— SecurityWeek