Na última segunda-feira, 18 de maio, o malware Megalodon atacou a plataforma de desenvolvimento GitHub e realizou commits maliciosos em mais de 5.500 repositórios.
Fonte da imagem: Rubaitul Azad / unsplash.com
A principal função do malware é roubar credenciais de CI/CD. Se o proprietário do repositório incluir um commit no projeto, o malware é executado nos servidores de CI/CD e se espalha, de acordo com especialistas em segurança cibernética. O Megalodon rouba outras credenciais, incluindo chaves secretas da AWS e tokens do Google Cloud; ele consulta metadados de instâncias da AWS, Google Cloud Platform e Azure; lê chaves privadas SSH, configurações do Docker e Kubernetes, tokens do Vault e credenciais do Terraform; e examina o código-fonte em busca de outros dados sensíveis usando mais de 30 expressões regulares.
Ele extrai tokens do GitHub, incluindo dados de autenticação para provedores de nuvem, e tokens do Bitbucket, permitindo que invasores se passem por desenvolvedores e acessem serviços em nuvem. Ataques frequentes ao GitHub ameaçam a segurança de todas as empresas que hospedam até mesmo repositórios privados na plataforma. O malware continua a se infiltrar em servidores e permanece imparável.
O Megalodon foi descoberto dentro do Tiledesk, uma plataforma de código aberto para chats online e chatbots. O malware não precisou invadir a conta NPM do projeto — ele simplesmente infectou o projeto no GitHub. O administrador do projeto publicou por último a versão “limpa” 2.18.5 e, em seguida, sem perceber, aprovou as versões com backdoor 2.18.6 (19 de maio) até 2.18.12 (21 de maio). O grupo de hackers TeamPCP usa métodos de ataque semelhantes, mas seu envolvimento na campanha Megalodon não foi confirmado.Sabe-se que a TeamPCP anunciou uma competição para ataques a cadeias de suprimentos, mas um dos competidores é também o criador do Megalodon.Provavelmente não — de acordo com as regras, os participantes devem adicionar uma chave de criptografia pública ao código malicioso, confirmando sua autoria.
Os pesquisadores conseguiram rastrear a atividade do Megalodon até dois endereços de e-mail que enviaram commits para um total de 5.561 repositórios. Todos esses commits apareceram em 18 de maio, em um período de pouco mais de seis horas.