- اكتشف باحثو SafeDep Megalodon، وهي حملة مستوحاة من TeamPCP أصابت أكثر من 5500 مستودع GitHub بأداة لسرقة المعلومات استهدفت أسرار CI/CD
- ينتشر الهجوم الشبيه بالديدان من خلال عمليات ارتكاب خبيثة لـ “build bot” مزيف لسرقة المفاتيح السحابية وبيانات اعتماد SSH وتكوينات DevOps، ويتم نشر حزم npm مثل Tiledesk عن طريق الخطأ من المستودعات المسمومة
- على عكس “المنافسين” في منتدى TeamPCP، يبدو أن Megalodon هو مقلد متميز، مدفوعًا بالهجمات الأخيرة على سلسلة التوريد، مما يشكل خطرًا على كل من مقدمي الرعاية والمستخدمين النهائيين.
يبدو أننا حصلنا على أول مقلد لفريق TeamPCP ويسمى Megalodon.
في أواخر الأسبوع الماضي، أفاد باحثو الأمن SafeDep عن العثور على أكثر من 5500 مستودع GitHub مصابًا بأداة لسرقة المعلومات تلتقط جميع أنواع الأسرار من خطوط أنابيب CI/CD الخاصة بالمطورين الضحايا.
وفي تقرير مفصل نُشر على مدونتها، أوضحت SafeDep أن الهجوم يبدأ بتقديم التزام ضار. تظاهر ممثل التهديد المسمى “build-bot” بأنه روبوت ينفذ عمليات تنفيذ تلقائية. إذا تم قبول هذه الالتزامات، التي تحمل معهم لصوص المعلومات، من قبل المشرف، فإنهم يلتقطون جميع أنواع الأسرار قبل توزيعها على مستودعات أخرى بطريقة الدودة الكلاسيكية.
من بين أمور أخرى، لوحظ أن Megalodon يستحوذ على مفاتيح AWS السرية و الرموز المميزة للوصول إلى Google Cloud، وبيانات اعتماد دور المثيل من AWS، وGCP، وAzure، ومفاتيح SSH الخاصة، وتكوينات Docker وKubernetes، ورموز Vault المميزة، وبيانات اعتماد Terraform، والمزيد.
دفع إلى أعلى من مستوى سطح البحر
في هذه المرحلة من الهجوم، الأشخاص الوحيدون المعرضون للخطر هم مشرفو GitHub. ومع ذلك، إذا قاموا بإلزام مستودعاتهم بـ npm، وهو ما يفعله الكثيرون، فقد يتأثر المستخدمون النهائيون أيضًا. قام SafeDep بتفصيل كيفية حدوث هذا السيناريو لمشرفي Tiledesk:
“جميع الإصدارات من 2.18.6 (19 مايو) إلى 2.18.12 (21 مايو) تحتوي على باب خلفي. نفس حساب npm، eljohnny (giovanni@tiledesk.com)، نشر إصدارًا نظيفًا من 2.18.5 وإصدارًا مخترقًا. لم يلمس المهاجم حساب npm مطلقًا. لقد قاموا باختراق مستودع GitHub وقام المشرف بالنشر من مصدر مسموم، دون أن يدركوا ذلك.
في مقالته، أفاد The Register أن فريق TeamPCP، جهة التهديد المعروفة الآن بهجماتها على GitHub وnpm، أطلق مؤخرًا “مسابقة لهجمات سلسلة التوريد” على منتديات Breach، لكنه أكد على أن Megalodon من المحتمل ألا يكون جزءًا من تلك المنافسة.
وبدلاً من ذلك، يبدو أنه جهة تهديد منفصلة تمامًا تم تحفيزها ببساطة بواسطة TeamPCP لإطلاق حملتها الضارة.
يمكن العثور على القائمة الكاملة للمستودعات المصابة على الموقع هذا الرابط.
بواسطة يسجل
أفضل برامج مكافحة الفيروسات لكل ميزانية
اتبع TechRadar على أخبار جوجل و أضفنا كمصدرك المفضل لتلقي أخبار ومراجعات وآراء الخبراء حول قنواتك.
