🔍 Contexte

Publié sur GitHub par BoostSecurity Labs, SmokedMeat est un framework red team post-exploitation ciblant les pipelines CI/CD. Il est présenté comme l’équivalent de Metasploit pour les environnements d’intégration et de déploiement continus.

🛠️ Description technique

SmokedMeat est composé de trois composants principaux :

  • Counter : interface TUI opérateur (terminal)
  • Kitchen : serveur C2 (teamserver) gérant les sessions, stagers, callbacks et graphe d’attaque
  • Brisket : implant déployé sur les runners CI compromis, assurant le beaconing, l’exécution de commandes et le pivoting

Le framework intègre également un scanner SAST de pipelines (poutine, embarqué) et un scanner de secrets (gitleaks, embarqué).

⚙️ Capacités offensives

  • Analyse : détection automatique de vulnérabilités dans les workflows GitHub Actions (injections, triggers dangereux, checkout non sécurisés)
  • Exploitation : déploiement de stager via PR, issue, commentaire, LOTP ou workflow dispatch
  • Post-exploitation : extraction de secrets depuis la mémoire du runner via /proc, énumération des permissions du token GitHub, scan de clés privées
  • Pivoting :
    • Échange de tokens OIDC vers AWS (sts:AssumeRoleWithWebIdentity), GCP (Workload Identity Federation), Azure (AAD), Kubernetes
    • Découverte de dépôts privés, mint de tokens GitHub App, accès SSH via deploy keys
  • Living Off The Pipeline (LOTP) : 15 outils de build (npm, pip, cargo, make, docker, gradle, maven, etc.) utilisés comme vecteurs d’exécution
  • Cache Poisoning : classification writer/victim, prédiction de clé de cache, staging via Actions Cache API
  • Graphe d’attaque : graphe dirigé persistant (BBolt) avec visualisation live via Cytoscape.js

🎯 Cibles et plateformes supportées

Reconnaissance automatique sur 6 plateformes CI : GitHub Actions, GitLab CI, Azure DevOps, CircleCI, Jenkins, Bitbucket.

📦 Stack technologique

Go 1.26+, Bubbletea v2, NATS JetStream, BBolt, Caddy (auto-TLS), AWS SDK v2, Google Cloud SDK, Azure SDK for Go.

📄 Nature de l’article

Il s’agit d’une publication de nouveaux outils à vocation red team et pédagogique, destinée aux équipes de sécurité souhaitant tester et valider leurs défenses contre les attaques de supply chain CI/CD.

🧠 TTPs et IOCs détectés

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1550.001 — Use Alternate Authentication Material: Application Access Token (Lateral Movement)
  • T1526 — Cloud Service Discovery (Discovery)
  • T1619 — Cloud Storage Object Discovery (Discovery)
  • T1574 — Hijack Execution Flow (Persistence)
  • T1199 — Trusted Relationship (Initial Access)
  • T1090 — Proxy (Command and Control)
  • T1102 — Web Service (Command and Control)

IOC

  • Chemins : /proc

Malware / Outils

  • SmokedMeat (framework)
  • Brisket (rat)
  • Kitchen (framework)
  • Counter (tool)
  • poutine (tool)
  • gump (tool)
  • gitleaks (tool)

🟡 Indice de vérification factuelle : 36/100 (moyenne)

  • ⬜ github.com — source non référencée (0pts)
  • ✅ 10351 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 13 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://github.com/boostsecurityio/smokedmeat