Megalodon攻击：超5700次恶意提交污染GitHub与npm生态，供应链安全再敲警钟

超5700次恶意提交Megalodon攻击的爆发与蔓延网络安全公司SafeDep近日披露了一起名为“Megalodon”的大规模供应链攻击事件。5月18日超过5700个恶意提交被推送到GitHub仓库攻击者用base64编码的密钥窃取payload替换了GitHub Actions工作流。此次攻击目标广泛包括Tiledesk9个仓库、Black - Iron - Project8个仓库以及数百个其他代码仓库。攻击者替换这些仓库中的CI/CD工作流植入名为“megalodon”的恶意payload其命令控制C2服务器地址为216.126.225.129:8443。值得关注的是受影响的仓库中包含一个带有后门的npm包tiledesk/tiledesk - server版本2.18.6至2.18.12这表明不仅GitHub仓库受到污染npm生态也受到了波及。GitHub Actions漏洞恶意代码如何潜入CI/CD流程根据SafeDep的分析攻击者利用了GitHub Actions工作流的自动化特性即当代码合并到主分支时自动执行的特点将恶意代码注入到CI/CD流程中。这种攻击方式的危险之处在于工作流通常拥有较高的权限可以访问secret、环境变量等敏感信息从而让攻击者能够窃取开发者密钥、API凭证等重要数据。而且由于工作流执行时通常具有较高的信任级别和权限这种攻击很难被传统的安全检测手段发现。供应链攻击新趋势CI/CD管道成攻击新目标Megalodon攻击展现了供应链攻击的新趋势攻击者不再需要直接攻入开发者的机器或账户而是通过污染CI/CD管道来达到目的。这一事件凸显了企业在安全技术和管理方面的不足。企业长期依赖传统的安全检测手段对CI/CD管道的安全重视不够导致攻击者有机可乘。此次事件可能引发数据泄露开发者的密钥、API凭证等重要数据面临被盗取的风险。虽然资讯未提及股价波动但此类事件可能会对相关企业的声誉和股价产生负面影响。同时供应链受到污染可能会影响到依赖这些受影响仓库和npm包的其他企业和项目。全行业警示升级防御架构刻不容缓对于全行业来说Megalodon攻击事件是一个重要的安全警示。开发者在使用第三方Actions和工作流时应仔细审查其来源和内容并监控CI/CD管道的异常行为。企业需要升级安全防御架构加强对CI/CD管道的安全管理采用更先进的安全检测技术及时发现和阻止类似的攻击。同时要提高员工的安全意识加强对供应链安全的重视。编辑观点此次攻击事件暴露出供应链安全的脆弱性企业需摒弃陈旧安全技术加强对关键流程的监控以应对不断变化的攻击手段守住安全底线。