自動化されたコミットに依存するサプライチェーン攻撃により、5,500以上のGitHubリポジトリがマルウェアに感染しました。セキュリティ研究者が警告しています。
メガロドンと呼ばれるこのキャンペーンは、認証情報、キー、トークン、その他のシークレットを盗むように設計されたペイロードを含むGitHub Actionsワークフローに依存しています。
SafeDepによると、これらのワークフローは、5月18日の6時間以内に影響を受けたリポジトリにプッシュされた5,700以上の悪意のあるコミットを通じて注入されたと述べています。SafeDepsによると、コンプロマイズされたGitHubリポジトリの完全なリストがあります。
サイバーセキュリティ企業によると、攻撃者は攻撃の一部として2つのペイロードを展開しました。1つは、すべてのプッシュとプルリクエストでトリガーされる新しいワークフローを追加するように設計されており、もう1つは既存のワークフローを特定のトリガーで置き換え、休止中のバックドアを作成しました。
感染したマシンでは、マルウェアはすべてのCI環境変数、AWS認証情報、GCPアクセストークン、Azure認証情報、SSHプライベートキー、DockerおよびKubernetes設定、APIキー、データベース接続文字列、GitHub Actionsトークン、GitLab CI/CDトークン、および数十の他の種類のシークレットを流出させます。
SafeDepは、オープンソースのライブチャットとチャットボットプラットフォームであるTiledeskパッケージの悪意のあるバージョンが特定された後、メガロドンが発見されたと説明しています。感染したパッケージは5月19日から5月21日の間に公開されました。
「同じNPMアカウント、eljohnny ([email protected])が、クリーンな2.18.5とコンプロマイズされたバージョンの両方を公開しました。攻撃者はNPMアカウントに触れることはありませんでした。彼らはGitHubリポジトリを侵害し、メンテナーは気づかないままに汚染されたソースから公開しました」とSafeDepは述べています。
感染につながった悪意のあるコミットは5月18日にプッシュされ、’build-bot’によって作成されました。関連するメールアドレスへのSafeDepの調査により、同じ日に作成された合計2,878のコミットと、2番目のメールアドレスを介して作成された追加の2,841のコミットが明らかになりました。
「すべての5,718のコミットは同じ日に着地しました:2026年5月18日、UTC 11:36から17:48までの約6時間のウィンドウ全体で、5,561の異なるリポジトリをターゲットにしています」とSafeDepは説明しています。
サイバーセキュリティ企業はまた、攻撃者が悪意のあるGitHub Actionsワークフロー、つまり’workflow_dispatch’を選択したことが、盗まれたGitHubトークンを使用してGitHub APIを介して後日休止中のバックドアをトリガーできることを確保したと述べています。
このワークフローは、GitHubのアンチ再帰ルール(GitHubトークンでトリガーされるイベントを介して新しいワークフロー実行が生成されるのを防ぐ)から除外されています。
先週、NPM は、二要素認証をバイパスする書き込みアクセス権を持つすべてのNPM細粒度アクセストークンが、Mini Shai-Huludと同様のサプライチェーン攻撃を防ぐために無効化されたことを発表しました。
Ox Securityによると、これはアカウントハイジャックを防ぐ必要がありますが、根本的な問題を解決しておらず、悪意のあるコードはコンプロマイズされたリポジトリを通じて引き続き拡散します。
「プラットフォームが真摯なチェックなしで任意の種類のコードのアップロードを許可し続けた場合、攻撃の数は増加するだけです」とOxは述べています。
「私たちは新しいサプライチェーン攻撃の時代に入り、TeamPCPがGitHubを侵害したのは始まりに過ぎません。次に来るのは、世界中の開発者に対する無限の波、サイバー攻撃のツナミです」とサイバーセキュリティ企業は述べています。
