GitHub出現大規模自動化活動Megalodon,六小時推送近6千筆惡意提交、5,500個儲存庫受害
攻擊概要
資安公司OX Security與SafeDep揭露,針對GitHub的大規模自動化攻擊「Megalodon」於2026年5月18日發動,攻擊者在短短六小時內向超過5,500個儲存庫推送了超過5,700筆惡意提交。
攻擊手法
- 攻擊者透過自動化CI/CD工作流,將惡意載荷植入GitHub Actions工作流中,篡改原始程式碼以植入後門。
- 惡意提交使用隨機名稱的臨時帳號與偽造作者(如 build-bot、auto-ci)進行掩飾。
- 攻擊者利用base64編碼的密鑰取代原本的payload,以竊取開發人員的憑證與雲端服務資訊。
影響範圍
此次攻擊影響超過5,561個儲存庫,每分鐘平均約有15筆惡意提交,持續維持高頻率,顯示攻擊者擁有高度自動化的基礎設施。
後續處理
GitHub已刪除數百萬個受感染的儲存庫,並強調目前無證據顯示客戶資料外洩,但事件引發對AI與自動化工具可能被濫用的擔憂。