Megalodonという高度な自動化キャンペーンが、記録的な規模のGitHubサプライチェーン攻撃の1つを実行し、2026年5月18日にわずか6時間で5,561個のリポジトリに5,718個の悪意のあるコミットをプッシュしました。
SafeDepのMalysis脅威検出エンジンによって発見されたこの活動は、GitHub Actionsワークフローを使用して、数千のオープンソースおよびエンタープライズリポジトリからCI秘密、クラウド認証情報、およびソースコードを静かに収集しました。
UTC 11:36から17:48の間、攻撃者はrkb8el9rやbhlru9nrなどのランダムな8文字のユーザー名を持つ使い捨てGitHubアカウントを使用して、build-bot、auto-ci、ci-bot、pipeline-botなどの通常のDevOpsボットを模倣した著者IDを偽造しました。
「ci: ビルド最適化ステップを追加」や「chore: パイプラインランタイムを最適化」などのコミットメッセージは、CI保守履歴に目立たないようにブレンドするように設計されました。
両方の攻撃者メール([email protected]および[email protected])はnullのGitHubユーザーフィールドを表示し、実際のアカウントが関連付けられていないことを意味し、コミットが侵害された個人アクセストークン(PAT)またはデプロイキーを介してプッシュされたことを示唆しています。
キャンペーンは2つの異なるワークフローバックドアをデプロイしました。大量バリアント(SysDiag)は、すべてのプッシュとプルリクエストでトリガーされる新しい.github/workflows/ci.ymlファイルを注入し、5,700以上のリポジトリ全体で自動実行を最大化しました。
ターゲット指定されたバリアント(Optimize-Build)は、既存のワークフローファイルをworkflow_dispatch トリガーで置き換え、休止状態のバックドアを実行します。これはGitHub APIを介して明示的に発火されたときにのみ実行されます。
ターゲット指定されたバリアントは、オープンソースのライブチャットプラットフォームであるTiledeskの場合に特に悪質であることが判明しました。攻撃者はGitHubリポジトリを侵害し、Dockerビルドワークフローをbase64エンコードされたbashペイロードに置き換えました。
正規のnpmメンテナー(eljohnny、[email protected])が中毒源から継続的に公開し続けたため、npmパッケージ@tiledesk/tiledesk-serverバージョン2.18.6から2.18.12まではすべてアプリケーションコードに変更を加えずにバックドアを含んでいました。
トリガーされると、111行のデコードされたbashスクリプトは5つのフェーズでデータを216.126.225.129:8443のC2サーバーに流出させます:
悪意のあるコミットがmasterにランディングすると、workflow_dispatchトリガーはペイロードがプッシュで自動実行されず、ビルドの失敗がゼロ、CI履歴で赤いフラグがなく、ワークフロー実行が表示されないことを意味しました。
攻撃者は、リポジトリ内の他のワークフロー実行からGITHUB_TOKENを取得できれば、単一のGitHub API呼び出しを介してオンデマンドで任意のバックドアを静かに起動できます。Safedepレポートで述べられているように。
注意:IPアドレスとドメインは、誤った解決またはハイパーリンクを防ぐために意図的にデファング(例:[.])されています。MISPやVirusTotal、またはあなたのSIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみリファングしてください。
2026年5月18日に[email protected]または[email protected]からのコミットをリポジトリが受け取った場合は、すぐに対応してください:
翻訳元: https://cyberpress.org/megalodon-malware-compromised/