GitHub出現大規模自動化活動Megalodon,六小時推送近6千筆惡意提交、5,500個儲存庫受害

來源:iThome | ID:576 | URLhttps://www.ithome.com.tw/news/176093 發布日期:2026-05-25 | 發現者:OX Security、SafeDep


重點摘要

2025年5月18日,大規模GitHub CI/CD惡意攻擊活動Megalodon在6小時內影響5,561個儲存庫,推送5,718筆惡意提交。

事件細節

攻擊手法

  • 使用已棄用帳號與偽造作者身分(假機器人)
  • 將Base64編碼的bash酬載注入GitHub Actions工作流程
  • 提交時間偽造為2001年9月17日(規避時間戳審查)
  • 資料外洩目標:216.126.225[.]129:8443

兩種惡意酬載

類型觸發方式目的
大規模散布型push / pull request新增工作流程,最大化自動化規模
精準攻擊型workflow_dispatch觸發器置換並重命名原工作流程

竊取目標

  • CI機密、雲端憑證、SSH金鑰
  • OIDC權杖(token)、原始碼

影響範圍

  • 5,500+ 儲存庫受害
  • 3,500+ 儲存庫含惡意YAML檔案

參考來源


衍生頁面