Kampanye Megalodon Meracuni 5.561 Repositori GitHub melalui Pintu Belakang Alur Kerja CI/CD — Kredensial, Kunci Cloud, dan Token OIDC Dieksfiltrasi

Pada 18 Mei 2026, kampanye rantai pasokan otomatis skala besar yang dijuluki 'Megalodon' mendorong 5.718 komit berbahaya ke 5.561 repositori GitHub dalam jendela enam jam. Menggunakan akun sekali pakai dengan identitas penulis bot yang dipalsukan (build-bot, auto-ci, ci-bot, pipeline-bot), para penyerang menyuntikkan file alur kerja GitHub Actions berbahaya yang membawa muatan bash berkode base64 yang, pada saat CI pipeline berikutnya dijalankan, mengeksfiltrasi variabel lingkungan CI, kredensial AWS, token akses GCP, kredensial Azure, kunci privat SSH, konfigurasi Docker/Kubernetes, token npm, dan token OIDC GitHub Actions ke server C2. Kampanye ini juga mengompromikan paket npm Tiledesk (@tiledesk/tiledesk-server versi 2.18.6–2.18.12), menyebarkan pintu belakang ke hilir melalui registri npm. Teknik serangan ini memetakan ke MITRE ATT&CK T1195.002 (Kompromi Rantai Pasokan).

Eksekusi Pipeline Beracun Langsung (d-PPE): penyerang dengan akses tulis (atau PR yang diterima dengan proteksi cabang lemah) mendorong YAML alur kerja berbahaya langsung ke cabang default. Alur kerja dipicu pada peristiwa push atau pull_request_target, mengeksfiltrasi semua rahasia pada saat CI run berikutnya. Varian kedua menggunakan workflow_dispatch untuk aktivasi pintu belakang diam-diam melalui API GitHub. Vektor pencurian token OIDC sangat parah: repositori yang benar-benar terukur memungkinkan alur kerja berbahaya untuk membuat token identitas cloud berumur pendek, memberikan akses cloud tanpa kredensial statis.

5.561+ repositori GitHub kekurangan tinjauan PR wajib pada cabang default; paket npm Tiledesk versi 2.18.6–2.18.12; organisasi apa pun yang pelari CI/CD-nya mengakses kredensial cloud atau federasi OIDC. Pipeline pengembangan AI menggunakan GitHub Actions untuk pelatihan model, pemrosesan dataset, atau penerapan agen berada langsung dalam cakupan.

1) Cari repositori Anda untuk komit dari build-system@noreply.dev atau ci-bot@automated.dev pada 18 Mei 2026; 2) Audit .github/workflows/ untuk nama alur kerja 'SysDiag' atau 'Optimize-Build'; 3) Blokir C2 di 216.126.225.129:8443; 4) Putar semua rahasia, kunci cloud, kunci SSH, dan kebijakan kepercayaan OIDC untuk repositori yang terpengaruh; 5) Uninstal paket @tiledesk/tiledesk-server versi 2.18.6–2.18.12; 6) Terapkan tinjauan PR wajib pada semua cabang default; 7) Batasi kebijakan kepercayaan OIDC ke cabang dan lingkungan tertentu. SafeDep telah menerbitkan daftar lengkap 5.718 hash komit berbahaya.