网络安全公司SafeDep近日披露了一起名为“Megalodon”的大规模供应链攻击事件。5月18日,超过5700个恶意提交被推送到GitHub仓库,攻击者用base64编码的密钥窃取payload替换了GitHub Actions工作流。
此次攻击目标广泛,包括Tiledesk(9个仓库)、Black - Iron - Project(8个仓库)以及数百个其他代码仓库。攻击者替换这些仓库中的CI/CD工作流,植入名为“megalodon”的恶意payload,其命令控制(C2)服务器地址为216.126.225.129:8443。
值得关注的是,受影响的仓库中包含一个带有后门的npm包:@tiledesk/tiledesk - server版本2.18.6至2.18.12,这表明不仅GitHub仓库受到污染,npm生态也受到了波及。
根据SafeDep的分析,攻击者利用了GitHub Actions工作流的自动化特性,即当代码合并到主分支时自动执行的特点,将恶意代码注入到CI/CD流程中。
这种攻击方式的危险之处在于,工作流通常拥有较高的权限,可以访问secret、环境变量等敏感信息,从而让攻击者能够窃取开发者密钥、API凭证等重要数据。而且由于工作流执行时通常具有较高的信任级别和权限,这种攻击很难被传统的安全检测手段发现。
Megalodon攻击展现了供应链攻击的新趋势,攻击者不再需要直接攻入开发者的机器或账户,而是通过污染CI/CD管道来达到目的。
这一事件凸显了企业在安全技术和管理方面的不足。企业长期依赖传统的安全检测手段,对CI/CD管道的安全重视不够,导致攻击者有机可乘。
此次事件可能引发数据泄露,开发者的密钥、API凭证等重要数据面临被盗取的风险。虽然资讯未提及股价波动,但此类事件可能会对相关企业的声誉和股价产生负面影响。同时,供应链受到污染,可能会影响到依赖这些受影响仓库和npm包的其他企业和项目。
对于全行业来说,Megalodon攻击事件是一个重要的安全警示。开发者在使用第三方Actions和工作流时,应仔细审查其来源和内容,并监控CI/CD管道的异常行为。
企业需要升级安全防御架构,加强对CI/CD管道的安全管理,采用更先进的安全检测技术,及时发现和阻止类似的攻击。同时,要提高员工的安全意识,加强对供应链安全的重视。
编辑观点:此次攻击事件暴露出供应链安全的脆弱性,企业需摒弃陈旧安全技术,加强对关键流程的监控,以应对不断变化的攻击手段,守住安全底线。
