技术说明
2026年5月18日,一场名为 'Megalodon' 的大规模自动化供应链攻击活动在六小时内向 5,561 个 GitHub 仓库推送了 5,718 个恶意提交。攻击者使用伪造机器人风格作者身份的一次性账户(build-bot、auto-ci、ci-bot、pipeline-bot),注入携带 base64 编码 bash 载荷的恶意 GitHub Actions 工作流文件,在下次 CI 流水线运行时,将 CI 环境变量、AWS 凭据、GCP 访问令牌、Azure 凭据、SSH 私钥、Docker/Kubernetes 配置、npm 令牌和 GitHub Actions OIDC 令牌泄露到 C2 服务器。该活动还入侵了 Tiledesk npm 包(@tiledesk/tiledesk-server 版本 2.18.6–2.18.12),通过 npm 注册表向下游传播后门。攻击技术对应 MITRE ATT&CK T1195.002(供应链入侵)。
攻击途径
直接毒化流水线执行(d-PPE):拥有写入权限的攻击者(或在弱分支保护下接受的 PR)直接向默认分支推送恶意工作流 YAML。工作流在 push 或 pull_request_target 事件上触发,在下次 CI 运行时泄露所有机密。第二种变体使用 workflow_dispatch 通过 GitHub API 激活休眠后门。OIDC 令牌窃取载体特别严重:正确作用域的仓库允许恶意工作流铸造短期云身份令牌,无需静态凭据即可获得云访问权限。
受影响系统
5,561+ 个在默认分支上缺乏强制性 PR 审查的 GitHub 仓库;Tiledesk npm 包版本 2.18.6–2.18.12;任何其 CI/CD 运行器访问云凭据或 OIDC 联邦的组织。使用 GitHub Actions 进行模型训练、数据集处理或代理部署的 AI 开发流水线直接在影响范围内。
缓解措施
1)搜索您的仓库中来自 build-system@noreply.dev 或 ci-bot@automated.dev 在 2026年5月18日 的提交;2)审核 .github/workflows/ 中名为 'SysDiag' 或 'Optimize-Build' 的工作流;3)阻止 216.126.225.129:8443 的 C2;4)轮换受影响仓库的所有机密、云密钥、SSH 密钥和 OIDC 信任策略;5)卸载 @tiledesk/tiledesk-server 版本 2.18.6–2.18.12;6)对所有默认分支强制执行强制性 PR 审查;7)将 OIDC 信任策略限制为特定分支和环境。SafeDep 已发布完整的 5,718 个恶意提交哈希列表。