Podcast

Écoutez cet article en audio

GitHub sous attaque : plus de 5 000 dépôts compromis en quelques heures

Une campagne automatisée baptisée « Megalodon » a ciblé massivement GitHub, affectant plus de 5 000 dépôts en moins de six heures, selon les chercheurs de SafeDep.
L’attaque s’est appuyée sur des jetons d’accès et clés compromis pour injecter du code malveillant directement dans les workflows d’automatisation (GitHub Actions).

Mode opératoire

Les attaquants ont usurpé l’identité de bots légitimes (ex. build-botci-bot) et modifié les pipelines d’intégration continue.
Du code dissimulé (encodé en base64) était ajouté afin d’exfiltrer des données sensibles lors de l’exécution :

  • identifiants cloud (AWS, Google Cloud),
  • clés SSH,
  • jetons d’accès,
  • mots de passe.

Les informations collectées étaient ensuite transmises vers un serveur contrôlé par les attaquants.

Projets impactés

Parmi les plus touchés figurent un dépôt réseau de Wiznet, plusieurs dépôts de Tiledesk (dont certaines versions incluaient la porte dérobée) ainsi que des projets persian-tools. À eux seuls, ces comptes totalisent plus de 2 000 commits malveillants.

Mesures de protection

Les experts recommandent :

  • de surveiller toute exécution inhabituelle dans l’onglet Actions de GitHub,
  • d’analyser les journaux d’audit cloud pour détecter des demandes de jetons suspectes,
  • de renforcer la gestion et la rotation des secrets utilisés dans les workflows CI/CD.

Les commits frauduleux utilisaient souvent des messages anodins, tels que « optimisation du build », rendant la détection plus complexe.

À retenir

La compromission d’un simple jeton automatisé peut suffire à contaminer des milliers de projets open source en quelques heures.
La sécurisation des identifiants, la surveillance active des pipelines CI/CD et l’audit régulier des workflows ne sont plus optionnels : ils constituent désormais un impératif de sécurité.