Hơn 5.500 kho lưu trữ GitHub bị nhiễm mã độc trong cuộc tấn công chuỗi cung ứng Megalodon

Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch tấn công chuỗi cung ứng quy mô lớn có tên Megalodon, đã lây nhiễm mã độc vào hơn 5.500 kho lưu trữ GitHub. Chiến dịch này tận dụng các lượt commit tự động để tiêm mã độc vào quy trình làm việc GitHub Actions nhằm đánh cắp dữ liệu nhạy cảm.

Hình ảnh minh họa bảo mật

Theo báo cáo từ công ty an ninh mạng SafeDep, cuộc tấn công này diễn ra vào ngày 18/5, với hơn 5.700 commit độc hại được đẩy lên các kho lưu trữ bị ảnh hưởng trong vòng sáu giờ. Kẻ tấn công đã triển khai hai loại payload chính: một loại thêm quy trình làm việc mới kích hoạt trên mọi push và pull request, và loại khác thay thế các quy trình hiện có để tạo ra các cửa sau (backdoor) tiềm ẩn.

Mục tiêu và phương thức hoạt động

Khi máy chủ bị nhiễm mã độc, phần mềm này sẽ trích xuất và gửi đi hàng loạt dữ liệu quan trọng bao gồm: biến môi trường CI, thông tin xác thực của AWS, GCP, Azure, khóa SSH riêng, cấu hình Docker và Kubernetes, khóa API, chuỗi kết nối cơ sở dữ liệu, cũng như các token của GitHub Actions và GitLab CI/CD.

Cuộc tấn công được phát hiện sau khi các phiên bản độc hại của gói phần mềm Tiledesk — một nền tảng chat trực tuyến mã nguồn mở — được xác định. Các gói bị nhiễm này được xuất bản từ ngày 19 đến ngày 21/5.

SafeDep giải thích rằng kẻ tấn công không chiếm đoạt trực tiếp tài khoản NPM của người bảo trì (eljohnny), mà thay vào đó xâm nhập vào kho lưu trữ GitHub. Người bảo trì đã vô tình xuất bản gói phần mềm từ mã nguồn đã bị đầu độc.

Kỹ thuật bypass quy tắc bảo mật

Điều đáng lo ngại là kẻ tấn công đã sử dụng tài khoản 'build-bot' để thực hiện 5.718 lượt commit chỉ trong một ngày, nhắm vào 5.561 kho lưu trữ riêng biệt. Bằng cách sử dụng sự kiện 'workflow_dispatch' trong GitHub Actions độc hại, chúng có thể kích hoạt cửa sau ở thời điểm sau thông qua GitHub API bằng cách sử dụng các token bị đánh cắp.

Minh họa tấn công mạng

Kỹ thuật này cho phép bypass các quy tắc chống đệ quy của GitHub, vốn được thiết kế để ngăn chặn các lần chạy quy trình làm việc mới được tạo ra từ các sự kiện do token kích hoạt.

Bối cảnh an ninh mạng mới

Tuần trước, NPM đã thông báo vô hiệu hóa tất cả các token truy cập chi tiết có quyền ghi mà bỏ qua xác thực hai yếu tố (2FA) để ngăn chặn các cuộc tấn công tương tự. Tuy nhiên, Ox Security nhận định rằng hành động này chỉ ngăn chặn việc chiếm đoạt tài khoản chứ không giải quyết được vấn đề cốt lõi.

"Nếu các nền tảng tiếp tục cho phép tải lên bất kỳ loại mã nào mà không có quy trình kiểm duyệt nghiêm ngặt, số lượng cuộc tấn công sẽ chỉ tiếp tục tăng lên," Ox Security nhận định.

Bảo mật dữ liệu

Công ty này cảnh báo chúng ta đã bước vào một kỷ nguyên mới của các cuộc tấn công chuỗi cung ứng, và sự việc GitHub bị xâm nhập chỉ là sự khởi đầu của một làn sóng tấn công mạng nhắm vào các nhà phát triển trên toàn cầu.