The GitHub Leak Situation Just Got Worse | Threat Wire

GitHub a connu une semaine difficile, marquée par la campagne Megalodon, identifiée par Safe Dep. Cette attaque a discrètement injecté des charges utiles Bash encodées en B64 dans des fichiers de workflow GitHub Actions, affectant 5 718 commits malveillants sur 5 561 dépôts en six heures. L'infostealer a volé des secrets CI, des identifiants cloud, des clés SSH, des jetons OIDC et des secrets de code source. Les attaquants ont utilisé des comptes GitHub jetables, forgé des identités d'auteur et poussé des commits via des jetons d'accès personnels compromis. Hudson Rock a découvert que 33% des noms d'utilisateur correspondaient à des machines précédemment infectées par des infostealers, confirmant l'hypothèse que des infections antérieures étaient à l'origine de l'attaque. Parallèlement, le groupe Team PCP a également ciblé GitHub, compromettant environ 38 000 dépôts privés internes. L'origine de cette brèche est le téléchargement d'une extension VS Code malveillante par un employé de GitHub. Les données exfiltrées incluaient des conversations du support client. Team PCP a mis en vente le code source interne de GitHub pour un minimum de 50 000 USD, menaçant de le divulguer gratuitement en l'absence d'acheteur. Ils ont déclaré que ce n'était pas une rançon et qu'ils ne cherchaient pas à extorquer GitHub, mais qu'ils prendraient bientôt leur retraite. Dans d'autres nouvelles, Lachlan Davidson a détaillé la découverte de la vulnérabilité React to Shell (CVSS 10.0), Discord a standardisé le chiffrement de bout en bout pour les appels vocaux et vidéo, et un dépôt GitHub public d'un contractant CISA a exposé des identifiants gouvernementaux. OpenAI et 1Password collaborent pour permettre aux agents de codage IA d'accéder aux identifiants de manière sécurisée. Enfin, Hack Five a célébré ses 21 ans et son million d'abonnés sur YouTube, remerciant sa communauté.