Megalodon大規模GitHub CI/CD惡意攻擊事件
2025年5月18日,OX Security 與 SafeDep 共同揭露代號 Megalodon 的大規模 GitHub CI/CD 惡意攻擊活動,攻擊者在6小時內對5,561個儲存庫推送5,718筆惡意提交。
事件時間軸
- 攻擊日期:2025年5月18日
- 攻擊時長:僅6小時
- 影響規模:5,561個儲存庫,5,718筆惡意提交
攻擊手法
攻擊者採用多重技術規避偵測:
- 帳號偽裝:使用已棄用帳號與偽造機器人身分
- 時間偽造:將提交時間戳偽造為2001年9月17日,規避基於時間的審查機制
- Payload編碼:Base64編碼的bash酬載注入GitHub Actions工作流程(YAML)
- 外洩端點:
216.126.225[.]129:8443
兩種惡意酬載類型
| 類型 | 觸發方式 | 目的 |
|---|---|---|
| 大規模散布型 | push / pull request | 新增工作流程,最大化自動化規模 |
| 精準攻擊型 | workflow_dispatch觸發器 | 置換並重命名原工作流程,鎖定特定目標 |
竊取目標
- CI機密(Secrets)
- 雲端憑證(AWS、GCP、Azure)
- SSH金鑰
- OIDC權杖(token)
- 原始碼
影響範圍
- 5,500+ 儲存庫受害
- 3,500+ 儲存庫含惡意YAML檔案(OX Security確認,數量持續增加)
與相關事件的關聯
本事件與同期Mini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩和GitHub內部儲存庫未授權存取事件2026均涉及GitHub平台安全,但攻擊手法與行為者不同。Megalodon針對公開儲存庫的GitHub Actions工作流程,而非針對GitHub內部基礎架構。
相關實體
- github — 受攻擊平台