攻擊活動主要針對 branch protection(分支保護)不足 的倉庫。如果沒有強制Pull Request審核、或允許過多帳號直接修改workflow檔案,攻擊者就可以把變更直接推到預設分支。
每個惡意提交都新增一個 GitHub Actions workflow檔案,裏面包含 Base64編碼的Bash payload。當CI pipeline運行時,腳本就會在GitHub Actions runner中執行。
因此攻擊通常不會即時發作,而是等到下一次CI自動化流程被觸發時才開始偷取資料。
研究報告指出,目標資料包括:
由於CI pipeline通常持有部署權限,一旦被入侵,攻擊者就可能進一步進入:
Megalodon其中一個重點目標是 GitHub Actions OIDC(OpenID Connect)令牌。
好處是:
但同時也帶來新風險:
如果攻擊者在CI運行期間 偷到OIDC令牌,就可能暫時冒充該CI工作流程的身份。
結果可能包括:
即使令牌有效時間很短,對攻擊者來說仍然足夠發動下一步滲透。
差不多同一時間,GitHub亦披露另一宗安全事故:
因此普遍看法是:
Megalodon顯示供應鏈攻擊策略正逐漸轉向 開發自動化基礎設施。
與其改程式碼,攻擊者更傾向:
安全團隊普遍建議採取以下防護措施:
隨著開發流程越來越依賴自動化,CI/CD安全已經成為軟件供應鏈防禦的核心環節。