Megalodon su GitHub: migliaia di commit infetti rubano segreti dalle pipeline CI/CD con workflow Actions truccati
Featured

Megalodon su GitHub: migliaia di commit infetti rubano segreti dalle pipeline CI/CD con workflow Actions truccati

news Visite: 28

La campagna Megalodon sta riscrivendo le regole degli attacchi alla supply chain su GitHub, puntando in modo diretto alle pipeline di automazione. In poche ore sono stati registrati migliaia di commit malevoli distribuiti su oltre cinquemila repository, con l’obiettivo di inserire workflow di GitHub Actions modificati e pronti a sottrarre segreti e credenziali.

Il meccanismo è subdolo perché sfrutta la fiducia che team e maintainer ripongono nei file di CI/CD, spesso aggiornati di frequente e con modifiche percepite come manutenzione ordinaria.

Gli attaccanti hanno usato account usa e getta e identità autore falsificate che imitano bot di build e pipeline, insieme a messaggi di commit ripetitivi e plausibili. Una volta introdotto il workflow, il payload in bash viene nascosto tramite base64 e attivato per esfiltrare dati verso un server di comando e controllo.

Tra le informazioni prese di mira ci sono:

  • Variabili di ambiente della CI
  • Token di accesso cloud
  • Chiavi SSH
  • Configurazioni Docker e Kubernetes
  • Credenziali per Terraform e Vault
  • File di configurazione (es. .env e service account)
  • Stringhe sensibili come API key, JWT e chiavi private in formato PEM

In pratica tutto ciò che consente movimento laterale e accesso persistente a infrastrutture e servizi.

Sono emerse due varianti principali:

  • Variante di massa: esegue il workflow ad ogni push e pull request, massimizzando la probabilità di esecuzione e quindi di furto di segreti.
  • Variante mirata: si attiva solo tramite workflow dispatch (esecuzione manuale), riducendo la visibilità e aumentando la sicurezza operativa dell’attaccante. Anche se limita la portata immediata, basta ottenere anche pochi token validi per attivare l’esecuzione su richiesta e colpire selettivamente runner e ambienti di build.

Il rischio aumenta quando un maintainer unisce il commit, perché il malware entra nel flusso di CI/CD e può facilitare ulteriore propagazione, trasformando repository legittimi in vettori. In questo scenario diventano cruciali controlli su commit sospetti, protezione dei branch, revisione rigorosa dei workflow, rotazione e limitazione dei token, e l’adozione di metodi di pubblicazione più sicuri che riducano la dipendenza da credenziali riutilizzabili.