Megalodon大規模GitHub CI/CD惡意攻擊事件

2025年5月18日,OX Security 與 SafeDep 共同揭露代號 Megalodon 的大規模 GitHub CI/CD 惡意攻擊活動,攻擊者在6小時內對5,561個儲存庫推送5,718筆惡意提交。

事件時間軸

  • 攻擊日期:2025年5月18日
  • 攻擊時長:僅6小時
  • 影響規模:5,561個儲存庫,5,718筆惡意提交

攻擊手法

攻擊者採用多重技術規避偵測:

  1. 帳號偽裝:使用已棄用帳號與偽造機器人身分
  2. 時間偽造:將提交時間戳偽造為2001年9月17日,規避基於時間的審查機制
  3. Payload編碼:Base64編碼的bash酬載注入GitHub Actions工作流程(YAML)
  4. 外洩端點216.126.225[.]129:8443

兩種惡意酬載類型

類型觸發方式目的
大規模散布型push / pull request新增工作流程,最大化自動化規模
精準攻擊型workflow_dispatch觸發器置換並重命名原工作流程,鎖定特定目標

竊取目標

  • CI機密(Secrets)
  • 雲端憑證(AWS、GCP、Azure)
  • SSH金鑰
  • OIDC權杖(token)
  • 原始碼

影響範圍

  • 5,500+ 儲存庫受害
  • 3,500+ 儲存庫含惡意YAML檔案(OX Security確認,數量持續增加)

與相關事件的關聯

本事件與同期Mini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩GitHub內部儲存庫未授權存取事件2026均涉及GitHub平台安全,但攻擊手法與行為者不同。Megalodon針對公開儲存庫的GitHub Actions工作流程,而非針對GitHub內部基礎架構。

相關實體

來源文章