СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24 мая
#Dev#ИБ#Облака

Megalodon атакует GitHub Actions и крадет CI-секреты

18 мая 2026 года была зафиксирована крупномасштабная автоматизированная киберкампания под названием Megalodon, в ходе которой злоумышленники в течение шести часов внедрили 5 718 вредоносных коммитов в 5 561 repository GitHub. Атака была выстроена так, чтобы выглядеть как легитимная активность CI/CD, а ее главной целью стала эксфильтрация конфиденциальных данных из процессов разработки и сборки.

Как работала атака

По данным отчета, атакующие использовали одноразовые учетные записи и поддельные личности, маскируясь под build-bot и ci-bot. Такая схема позволяла скрывать происхождение коммитов и создавать видимость автоматизированных действий инфраструктуры.

Основной механизм атаки заключался в злоупотреблении GitHub Actions. Злоумышленники развертывали base64-кодированные bash-scripts, рассчитанные на сбор и последующую передачу секретов из CI-среды, а также других credentials, используемых в ходе разработки и деплоя.

Два варианта payload

В ходе кампании были распространены два distinct варианта payload:

  • SysDiag — массовый вариант, который настраивал workflows, активировавшиеся при каждом push кода и pull request. Это обеспечивало максимальное число срабатываний и, соответственно, возможностей для выполнения вредоносного кода.
  • Optimize-Build — targeted вариант, который заменял существующие workflows и запускался только по требованию через GitHub API triggers.

Именно Optimize-Build был интегрирован в определенные версии @tiledesk/tiledesk-server — с 2.18.6 по 2.18.12. По данным отчета, это произошло непреднамеренно: легитимный maintainer опубликовал обновления из compromised repository.

Какие данные пытались похитить

Скомпрометированные workflows были ориентированы на сбор максимально широкого набора чувствительных данных. Среди целей оказались:

  • все CI environment variables;
  • AWS access keys;
  • GCP tokens;
  • private SSH keys;
  • GitHub Actions OIDC tokens;
  • personal access tokens GitHub;
  • GitLab CI/CD tokens;
  • Bitbucket tokens.

Такой набор позволяет злоумышленникам не только получить доступ к исходному коду и инфраструктуре сборки, но и потенциально осуществлять impersonation в cloud environments.

Методы сбора и эксфильтрации

Вредоносные скрипты использовали команды для обращения к metadata services AWS и GCP, а также для сканирования source code на наличие распространенных secrets, включая:

  • API keys;
  • database connection strings;
  • cloud tokens.

Это указывает на тщательно подготовленную операцию, в которой automated collection secrets сочеталась с попытками расширить доступ за счет уже найденных credentials.

Признаки автоматизации и способ внедрения

Анализ показал, что вредоносные коммиты отправлялись с адресов электронной почты вроде build-system@noreply.dev и ci-bot@automated.dev. Это дополнительно подтверждает automated nature атаки и попытку выдать ее за системную активность.

Особо отмечается, что один из вредоносных коммитов был создан автоматически 18 мая, без использования стандартных pull requests. Иными словами, он был отправлен напрямую в master branch, вероятно, через compromised personal access token (PAT) или deployment key.

Масштаб и последствия

Серьезность кампании Megalodon определяется не только количеством затронутых repository, но и широтой потенциального охвата организаций, использующих GitHub в своих CI/CD practices. По данным отчета, Tiledesk оказался особенно затронут: вредоносная активность была зафиксирована в девяти его repositories.

Поиск через commit API показал, что вредоносные события были сгруппированы в очень короткий промежуток времени и затронули тысячи repositories. Это указывает на массовую, хорошо автоматизированную операцию с потенциально широкими последствиями для организаций, зависящих от GitHub-based development pipelines.

Ключевая угроза Megalodon заключается в том, что атака бьет не по конечному пользователю, а по самому процессу разработки — туда, где хранятся самые ценные secrets и credentials.

Таким образом, Megalodon можно рассматривать как один из наиболее показательных примеров злоупотребления CI/CD-инфраструктурой: атака сочетает масштаб, автоматизацию, маскировку под легитимные процессы и нацеленность на облачные secrets, которые могут открыть доступ уже ко всей экосистеме организации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: