GitHub出現大規模自動化活動Megalodon,六小時推送近6千筆惡意提交、5,500個儲存庫受害
來源:iThome | ID:576 | URL:https://www.ithome.com.tw/news/176093 發布日期:2026-05-25 | 發現者:OX Security、SafeDep
重點摘要
2025年5月18日,大規模GitHub CI/CD惡意攻擊活動Megalodon在6小時內影響5,561個儲存庫,推送5,718筆惡意提交。
事件細節
攻擊手法
- 使用已棄用帳號與偽造作者身分(假機器人)
- 將Base64編碼的bash酬載注入GitHub Actions工作流程
- 提交時間偽造為2001年9月17日(規避時間戳審查)
- 資料外洩目標:
216.126.225[.]129:8443
兩種惡意酬載
| 類型 | 觸發方式 | 目的 |
|---|---|---|
| 大規模散布型 | push / pull request | 新增工作流程,最大化自動化規模 |
| 精準攻擊型 | workflow_dispatch觸發器 | 置換並重命名原工作流程 |
竊取目標
- CI機密、雲端憑證、SSH金鑰
- OIDC權杖(token)、原始碼
影響範圍
- 5,500+ 儲存庫受害
- 3,500+ 儲存庫含惡意YAML檔案
參考來源
- OX Security:https://www.ox.security/blog/megalodon-cicd-malware-github/
- SafeDep:https://safedep.io/megalodon-mass-github-repo-backdooring-ci-workflows/