Auf den Punkt: Die Megalodon-Kampagne hat über 5.700 GitHub-Repositories mit bösartigen CI/CD-Workflows infiltriert und sensible Credentials gestohlen. Angreifer nutzten gefälschte Identitäten und versteckte Base64-Payloads, um auf großer Skala an Cloud-Credentials, SSH-Schlüssel und API-Keys zu gelangen.
Sicherheitsforscher haben eine automatisierte Kampagne namens Megalodon enthüllt, die in nur sechs Stunden 5.718 bösartige Commits in 5.561 GitHub-Repositories eingeschleust hat. Die Angreifer nutzten gefälschte Identitäten und versteckte Schadcode-Payloads, um sensible Daten wie Cloud-Credentials, SSH-Schlüssel und API-Keys zu stehlen.
Sicherheitsforscher haben Details über eine neue automatisierte Kampagne namens Megalodon veröffentlicht, die 5.718 bösartige Commits in 5.561 GitHub-Repositories innerhalb eines Sechsstunden-Fensters eingeschleust hat. Die Angreifer verwendeten wegwerfbare Konten und gefälschte Autor-Identitäten wie build-bot, auto-ci, ci-bot und pipeline-bot. Sie injizierten GitHub-Actions-Workflows mit Base64-codierten Bash-Payloads, die CI-Geheimnisse, Cloud-Credentials, SSH-Schlüssel, OIDC-Token und Source-Code-Secrets auf einen C2-Server unter 216.126.225[.]129:8443 exfiltrierten.
Die gestohlenen Daten umfassen CI-Umgebungsvariablen, AWS- und Google-Cloud-Credentials, Instance-Role-Credentials von AWS, Google Cloud und Microsoft Azure, SSH-Privatschlüssel, Docker- und Kubernetes-Konfigurationen, Vault-Token, Terraform-Credentials, Shell-Historie, API-Schlüssel, Datenbankverbindungszeichenketten, JWTs, PEM-Privatschlüssel und Cloud-Token. Zudem wurden GitHub-Actions-OIDC-Tokens, GITHUB_TOKEN, GitLab- und Bitbucket-Tokens sowie Konfigurationsdateien wie .env und credentials.json erbeutet.
Die Angreifer rotatierten vier Autorennamen und sieben Commit-Meldungen, die alltägliche CI-Wartung nachahmten. Sie nutzten zufällig generierte GitHub-Konten und kompromittierte Personal Access Tokens oder Deploy-Keys. Zwei Payload-Varianten wurden beobachtet: SysDiag, ausgelöst bei jedem Push und Pull-Request, sowie Optimize-Build, aktiviert nur durch manuelles Triggering. Die Kampagne zeigt das Ausmaß moderner Supply-Chain-Angriffe auf die Softwareentwickler-Community.