วันที่ 18 พฤษภาคม 2026 แคมเปญโจมตีอัตโนมัติชื่อ “Megalodon” ส่งคอมมิตอันตราย 5,718 ครั้งไปยัง 5,561 GitHub repositories ภายในราว 6 ชั่วโมง โดยฝังไฟล์ GitHub Actions ที่พยายามขโมย secrets จาก CI/CD [16][17] ผู้โจมตีปลอมตัวเป็นบอท CI เช่น build bot และ auto ci พร้อมสร้าง metadata ของคอมมิตให้ดูเหมือนการแก้ไขระบบอัตโนม...

Create a landscape editorial hero image for this Studio Global article: What happened in the “Megalodon” GitHub supply chain attack on May 18, 2026, how were attackers able to inject 5,700+ malicious commits into. Article summary: “Megalodon” was a fast, automated GitHub supply-chain campaign on May 18, 2026 that pushed 5,718 malicious commits into 5,561 public repositories in roughly six hours by slipping poisoned GitHub Actions workflows into re. Topic tags: general, general web, documentation, user generated. Reference image context from search candidates: Reference image 1: visual subject "On May 18, 2026, an automated campaign codenamed `megalodon` pushed 5,718 malicious commits to 5,561 GitHub repositories in a six-hour window. Using throwaway accounts and forged a" source context "Megalodon: Mass GitHub Repo Backdooring via CI Workflows" Reference image 2: visual subject "A sophis
วันที่ 18 พฤษภาคม 2026 นักวิจัยด้านความปลอดภัยตรวจพบการโจมตีซัพพลายเชนซอฟต์แวร์ครั้งใหญ่ที่ถูกตั้งชื่อว่า “Megalodon” ภายในเวลาประมาณหกชั่วโมง ผู้โจมตีสามารถส่ง คอมมิตอันตราย 5,718 ครั้งไปยัง GitHub repositories จำนวน 5,561 แห่ง ซึ่งถือเป็นหนึ่งในแคมเปญโจมตีแบบอัตโนมัติที่ใหญ่ที่สุดที่เคยพบในแพลตฟอร์มนี้
แทนที่จะแก้ไขโค้ดของแอปพลิเคชันโดยตรง ผู้โจมตีเลือกแทรก ไฟล์ workflow ของ GitHub Actions ที่มีโค้ดอันตราย เมื่อระบบ CI/CD ของรีโปทำงาน workflow เหล่านี้จะถูกเรียกใช้และพยายามดึงข้อมูลลับจาก environment ของระบบ build
จากข้อมูลการวิเคราะห์ แคมเปญนี้ทำงานช่วงประมาณ 11:36 ถึง 17:48 UTC ในวันเดียวกัน ซึ่งบ่งชี้ว่ามีระบบอัตโนมัติขนาดใหญ่คอยยิงคอมมิตเข้าไปยังรีโปจำนวนมากก่อนที่ผู้ดูแลจะทันสังเกตเห็น
หัวใจของการโจมตีคือการผสมผสานระหว่างระบบอัตโนมัติและการปลอมตัวให้เหมือนกระบวนการ CI ปกติ
ผู้โจมตีสร้างบัญชี GitHub แบบใช้ครั้งเดียว (throwaway accounts) พร้อมชื่อแบบสุ่ม และปลอมตัวเป็นระบบ automation เช่น
ชื่อเหล่านี้ทำให้คอมมิตดูเหมือนมาจากระบบ build หรือบอท CI ปกติ มากกว่าจะเป็นผู้โจมตีจริง
ข้อมูลผู้เขียนคอมมิตและข้อความ commit message ถูกสร้างให้ดูเหมือนการปรับปรุง workflow หรือการตั้งค่า CI ทั่วไป เช่นการอัปเดต pipeline ทำให้คอมมิตกลมกลืนกับกิจกรรมพัฒนาปกติในรีโป
แคมเปญนี้เลือกโจมตีรีโปที่ ไม่มี branch protection rules ที่เข้มงวด เช่น
เมื่อไม่มีข้อจำกัดเหล่านี้ ผู้โจมตีสามารถ push workflow ใหม่เข้าไปยัง branch หลักของรีโปได้โดยตรง
ในแต่ละคอมมิตจะมีการเพิ่ม GitHub Actions workflow ที่ฝัง payload แบบ Base64‑encoded Bash script เมื่อ pipeline ทำงาน สคริปต์จะถูก decode และรันบน runner ของ GitHub Actions
กลยุทธ์นี้ทำให้การโจมตีหลายครั้งยังไม่แสดงผลทันที จนกว่าจะมีการรัน CI ครั้งถัดไป
สคริปต์ Bash ที่ถูกเข้ารหัสใน workflow ถูกออกแบบมาเพื่อรวบรวมข้อมูลลับจาก environment ของ CI แล้วส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี
เป้าหมายหลักที่รายงาน ได้แก่
มัลแวร์จะรวบรวม environment variables ข้อมูลระบบ และ secrets ต่าง ๆ จาก runner ก่อนส่งออกไปยังเซิร์ฟเวอร์ควบคุม (C2) ของผู้โจมตี
ปัญหาคือระบบ CI/CD มักมี credential สำหรับ deploy หรือจัดการ infrastructure ดังนั้นหาก runner ถูกเจาะ ผู้โจมตีอาจเข้าถึง
หนึ่งในเป้าหมายหลักของ payload คือ GitHub Actions OIDC token
ในระบบ CI/CD สมัยใหม่ หลายทีมใช้ OpenID Connect (OIDC) เพื่อให้ pipeline ยืนยันตัวตนกับผู้ให้บริการคลาวด์โดยไม่ต้องเก็บ API key ระยะยาวไว้ในระบบ
แนวคิดคือ workflow จะขอโทเคนชั่วคราวจาก GitHub แล้วนำไปแลกกับ credential ชั่วคราวจากคลาวด์ เช่น AWS, Google Cloud หรือ Azure
แม้โทเคนเหล่านี้มีอายุสั้น แต่ถ้าผู้โจมตีขโมยได้ระหว่างที่ pipeline กำลังทำงาน พวกเขาอาจใช้โทเคนนั้น ปลอมตัวเป็น pipeline ขององค์กร เพื่อขอสิทธิ์เข้าถึงคลาวด์ได้ชั่วคราว
ผลลัพธ์อาจนำไปสู่
ดังนั้นแม้จะเป็น credential อายุสั้น แต่สิทธิ์ที่ผูกกับมันอาจมีมูลค่าสูงมาก
ในช่วงเวลาใกล้กัน GitHub ยังเปิดเผยเหตุการณ์ด้านความปลอดภัยอีกกรณีหนึ่ง คือ VS Code extension ที่ถูกฝังมัลแวร์ ซึ่งถูกติดตั้งบนเครื่องพนักงานของ GitHub
มัลแวร์ใน extension นี้ทำให้ผู้โจมตีสามารถเข้าถึง ประมาณ 3,800 internal repositories ของ GitHub ก่อนที่จะถูกตรวจพบและควบคุมเหตุการณ์
เหตุการณ์ดังกล่าวเกิดจาก environment ของนักพัฒนาที่ถูกเจาะ และมีการขโมย credential ผ่าน extension ที่ถูกดัดแปลงใน marketplace ของ VS Code
แม้ว่าระยะเวลาและรูปแบบการโจมตีจะดูคล้ายกัน แต่ ยังไม่มีหลักฐานสาธารณะที่ยืนยันว่าการรั่วไหลของ GitHub ภายในเป็นสาเหตุโดยตรงของแคมเปญ Megalodon
ดังนั้นในตอนนี้ ผู้เชี่ยวชาญด้านความปลอดภัยมองว่าทั้งสองเหตุการณ์เป็น เหตุการณ์ซัพพลายเชนที่เกิดขึ้นในช่วงเวลาเดียวกัน มากกว่าจะเป็นปฏิบัติการเดียวกัน
เหตุการณ์ Megalodon แสดงให้เห็นว่า ผู้โจมตีสามารถใช้ automation เพื่อกระจายการโจมตีไปยังรีโปหลายพันแห่งได้ภายในเวลาไม่กี่ชั่วโมง
การโจมตีครั้งนี้ไม่ได้มุ่งเปลี่ยนโค้ดของแอป แต่เน้น เจาะระบบ automation ของการพัฒนา ซึ่งมักมี credential สำคัญจำนวนมาก
บทเรียนสำคัญสำหรับทีมพัฒนา ได้แก่
เมื่อ pipeline พัฒนาซอฟต์แวร์เชื่อมต่อกับคลาวด์และระบบ production มากขึ้น ความปลอดภัยของ CI/CD จึงกลายเป็นส่วนสำคัญของการป้องกันซัพพลายเชนซอฟต์แวร์
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
วันที่ 18 พฤษภาคม 2026 แคมเปญโจมตีอัตโนมัติชื่อ “Megalodon” ส่งคอมมิตอันตราย 5,718 ครั้งไปยัง 5,561 GitHub repositories ภายในราว 6 ชั่วโมง โดยฝังไฟล์ GitHub Actions ที่พยายามขโมย secrets จาก CI/CD [16][17]
วันที่ 18 พฤษภาคม 2026 แคมเปญโจมตีอัตโนมัติชื่อ “Megalodon” ส่งคอมมิตอันตราย 5,718 ครั้งไปยัง 5,561 GitHub repositories ภายในราว 6 ชั่วโมง โดยฝังไฟล์ GitHub Actions ที่พยายามขโมย secrets จาก CI/CD [16][17] ผู้โจมตีปลอมตัวเป็นบอท CI เช่น build bot และ auto ci พร้อมสร้าง metadata ของคอมมิตให้ดูเหมือนการแก้ไขระบบอัตโนมัติ และโจมตีรีโปที่ไม่มี branch protection ที่เข้มงวด [17][23]
เหตุการณ์เกิดช่วงเดียวกับการรั่วไหลของรีโปภายใน GitHub ประมาณ 3,800 รีโปจาก VS Code extension ที่ถูกวางมัลแวร์ แต่ยังไม่มีหลักฐานยืนยันว่าทั้งสองเหตุการณ์เกี่ยวข้องกันโดยตรง [2][3]