网络安全公司SafeDep近日披露了一起大规模供应链攻击事件——"Megalodon"。

、

据介绍，5月18日，超过5700个恶意提交被推送到GitHub仓库，攻击者用base64编码的密钥窃取payload替换了GitHub Actions工作流。

这次攻击的目标包括Tiledesk（9个仓库）、Black-Iron-Project（8个仓库）以及数百个其他代码仓库。攻击者替换了这些仓库中的CI/CD工作流，植入了一个名为"megalodon"的恶意 payload，其命令控制（C2）服务器地址为216.126.225.129:8443。

值得注意的是，受影响的仓库中，包含了一个带有后门的npm包：@tiledesk/tiledesk-server版本2.18.6至2.18.12。这意味着不仅GitHub仓库受到污染，npm生态也受到了波及。

根据SafeDep的分析，攻击者利用了GitHub Actions工作流的自动化特性——当代码合并到主分支时自动执行这一特点，将恶意代码注入到CI/CD流程中。这种攻击方式的危险之处在于：工作流通常拥有较高的权限，可以访问secret、环境变量等敏感信息，从而让攻击者能够窃取开发者密钥、API凭证等重要数据。

Megalodon攻击展现了供应链攻击的新趋势：攻击者不再需要直接攻入开发者的机器或账户，而是通过污染CI/CD管道来达到目的。由于工作流执行时通常具有较高的信任级别和权限，这种攻击很难被传统的安全检测手段发现。SafeDep建议开发者在使用第三方Actions和工作流时，应仔细审查其来源和内容，并监控CI/CD管道的异常行为。

来源：SafeDep (https://safedep.io/megalodon-mass-github-repo-backdooring-ci-workflows/)