代号为'Megalodon'的大规模自动化攻击通过注入恶意CI工作流,成功入侵了5,561个GitHub代码库,窃取敏感凭证和机密信息。攻击使用了两种变体:一种在每次推送/拉取请求时触发,另一种创建可通过GitHub API激活的休眠后门。该活动成功窃取了包括云访问密钥、SSH密钥和源代码机密在内的多种凭证。
背景
针对开源代码库的软件供应链攻击日益普遍,攻击者利用CI/CD管道分发恶意软件和窃取凭证。GitHub Actions工作流特别容易受到攻击,因为它们通常包含敏感凭证,并具有对代码库内容的广泛访问权限。
- 来源
- Lobsters
- 发布时间
- 2026年5月22日 17:05
- 评分
- 9.0 / 10