Podcast
Écoutez cet article en audio
GitHub sous attaque : plus de 5 000 dépôts compromis en quelques heures
Une campagne automatisée baptisée « Megalodon » a ciblé massivement GitHub, affectant plus de 5 000 dépôts en moins de six heures, selon les chercheurs de SafeDep.
L’attaque s’est appuyée sur des jetons d’accès et clés compromis pour injecter du code malveillant directement dans les workflows d’automatisation (GitHub Actions).
Mode opératoire
Les attaquants ont usurpé l’identité de bots légitimes (ex. build-bot, ci-bot) et modifié les pipelines d’intégration continue.
Du code dissimulé (encodé en base64) était ajouté afin d’exfiltrer des données sensibles lors de l’exécution :
- identifiants cloud (AWS, Google Cloud),
- clés SSH,
- jetons d’accès,
- mots de passe.
Les informations collectées étaient ensuite transmises vers un serveur contrôlé par les attaquants.
Projets impactés
Parmi les plus touchés figurent un dépôt réseau de Wiznet, plusieurs dépôts de Tiledesk (dont certaines versions incluaient la porte dérobée) ainsi que des projets persian-tools. À eux seuls, ces comptes totalisent plus de 2 000 commits malveillants.
Mesures de protection
Les experts recommandent :
- de surveiller toute exécution inhabituelle dans l’onglet Actions de GitHub,
- d’analyser les journaux d’audit cloud pour détecter des demandes de jetons suspectes,
- de renforcer la gestion et la rotation des secrets utilisés dans les workflows CI/CD.
Les commits frauduleux utilisaient souvent des messages anodins, tels que « optimisation du build », rendant la détection plus complexe.
À retenir
La compromission d’un simple jeton automatisé peut suffire à contaminer des milliers de projets open source en quelques heures.
La sécurisation des identifiants, la surveillance active des pipelines CI/CD et l’audit régulier des workflows ne sont plus optionnels : ils constituent désormais un impératif de sécurité.
Commentaires (0)
Aucun commentaire pour le moment.
Soyez le premier à commenter !