2026年5月18日一场代号为巨齿鲨Megalodon的自动化供应链攻击席卷GitHub平台。从UTC时间11:36到17:48短短不到六小时的窗口期内超过五千五百个代码仓库被植入恶意CI/CD后门。这起事件以其惊人的传播速度和隐蔽的渗透手法成为GitHub Actions投毒史上最具破坏力的案例之一也为全球开源生态敲响了新的安全警钟。攻击规模与伪造身份SafeDep安全团队的事后追踪显示攻击者在当日集中动用了大量一次性账户。这些账户采用随机生成的八字符用户名向5,561个仓库累计推送了5,718个恶意提交。为了降低被人工审查发现的概率攻击者精心伪造了提交者身份诸如build-bot、auto-ci、ci-bot、pipeline-bot等名称配合build-systemnoreply.dev与ci-botautomated.dev这类邮箱地址从外观上模仿日常自动化构建系统的例行维护行为。提交信息的设计同样充满迷惑性。ci添加构建优化步骤、chore优化管道运行时这类措辞看似平淡无奇实则刻意贴合正常开发团队的协作习惯。许多维护者在快速浏览提交列表时极易将其误判为常规的CI配置更新从而跳过深入审查。双轨制载荷批量渗透与精准潜伏此次行动并非单一模式的无差别轰炸而是采用了两种互补的GitHub Actions工作流变体背后共享同一台位于216.126.225.129:8443的C2服务器。SysDiag属于批量扩散版本。它的核心动作是在目标仓库中植入.github/workflows/ci.yml文件触发器设置为pull_request_target与push。这意味着只要仓库的任何分支发生提交恶意代码就会自动执行覆盖范围极广。Optimize-Build则走精准潜伏路线。攻击者不会新增文件而是直接篡改仓库中已有的工作流配置将原有触发器替换为workflow_dispatch。这种改动的隐蔽性更高因为表面上不会产生任何异常的CI运行记录也不会引发构建失败。攻击者可以通过GitHub API在需要时远程静默激活后门实现按需唤醒。两种变体在权限申请上高度一致均要求id-token: write与actions: read。这类权限足以窃取OIDC令牌进而冒充合法身份访问云资源为后续横向移动铺平道路。多阶段凭证窃取机制被触发的载荷是一段经过base64编码的bash脚本展开后达111行。其执行逻辑呈现出典型的多阶段窃取特征几乎覆盖了CI/CD环境中所有可能存放敏感凭证的位置。脚本启动后会立即读取全部CI环境变量同时遍历/proc/*/environ以及PID 1的环境数据。随后它会在各主流云平台的配置文件中翻找AWS访问密钥、会话令牌调用gcloud auth print-access-token获取GCP临时凭证并向AWS IMDSv2、GCP元数据端点以及Azure IMDS发起请求抓取实例级别的实时认证信息。本地凭证也未能幸免。SSH私钥、Docker认证配置、.npmrc、.netrc、Kubernetes集群配置、Vault令牌以及Terraform状态文件均被纳入扫描范围。更激进的是脚本还会用grep命令在源代码中匹配超过30种正则表达式模式涵盖API密钥、JWT令牌、数据库连接字符串、PEM私钥及各类云访问令牌。这种环境文件源码的三层收割策略大幅提升了敏感信息外泄的概率。Tiledesk事件从代码库到npm的连锁污染在这场大规模扫描中开源在线聊天平台Tiledesk遭受了最为严重的下游冲击。攻击者成功渗透了Tiledesk的GitHub仓库通过提交acac5a9将原本合法的Docker构建工作流替换为Optimize-Build后门。由于应用层源代码本身未被改动仅工作流文件发生了变更这种细微差异在版本发布前的审查中极易被忽视。维护者在不知情的状态下将受污染的tiledesk/tiledesk-server2.18.6至2.18.12版本陆续发布至npm注册表。后门由此从代码托管平台延伸至包管理生态任何安装或升级至这些版本的开发者其CI环境都可能面临凭证泄露风险。这一链条清晰地展示了现代软件供应链中代码库—CI系统—包注册表的脆弱传导关系。入侵指标梳理对于安全运营团队而言以下IoC可用于内部威胁情报平台如MISP、VirusTotal或SIEM的关联检测表格指标类型具体数值C2服务器hxxp://216[.]126[.]225[.]129:8443活动标识megalodon伪造邮箱build-systemnoreply[.]dev、ci-botautomated[.]dev伪造作者build-bot、auto-ci、ci-bot、pipeline-bot批量工作流.github/workflows/ci.ymlSysDiag变体目标工作流Optimize-Buildworkflow_dispatch触发受影响npm版本tiledesk/tiledesk-server 2.18.6–2.18.12恶意提交acac5a9854650c4ae2883c4740bf87d34120c038需要说明的是上述IP地址与域名中的分隔符已做脱敏处理目的是防止在文档阅读或复制过程中意外触发解析。实际投入检测规则时需还原为真实地址格式。企业级缓解与长期加固面对此类针对CI/CD管道的自动化攻击组织需要建立覆盖代码、凭证与云资源的多维响应机制。若仓库在2026年5月18日前后收到过来自build-systemnoreply.dev或ci-botautomated.dev的提交应立即启动溯源排查。首要动作是回滚所有可疑提交并对.github/workflows/目录下的全部文件进行逐行审计确认是否存在未经授权的触发器变更或base64编码的异常脚本。所有可能被GitHub Actions运行器接触到的凭证——包括个人访问令牌、API密钥、SSH密钥及云服务商IAM凭据——都应执行紧急轮换避免历史泄露数据被长期利用。云侧同样需要加强监控。安全团队应审查近期日志重点关注来自未知工作流或异常IP的OIDC令牌请求。GitHub仓库的Actions选项卡也值得仔细核对排查是否有未预期的workflow_dispatch手动执行记录。从架构层面看将GitHub Actions引用的第三方动作固定到具体的提交SHA值而非使用可变的版本标签能够显著降低供应链被污染后的影响面。对于外部贡献者发起的拉取请求启用工作流审批机制也是必要的隔离手段防止未经审核的CI配置直接生效。SafeDep的Malysis引擎正是在分析tiledesk/tiledesk-server2.18.12的捆绑工作流文件时通过识别其中的base64编码载荷率先标记了这起攻击。这也从侧面印证在代码审查之外部署自动化的供应链扫描能力已成为捕获高隐蔽性威胁的关键补充。
巨齿鲨突袭GitHub:5500余仓库沦陷,开源供应链安全防线再遭重创
2026年5月18日一场代号为巨齿鲨Megalodon的自动化供应链攻击席卷GitHub平台。从UTC时间11:36到17:48短短不到六小时的窗口期内超过五千五百个代码仓库被植入恶意CI/CD后门。这起事件以其惊人的传播速度和隐蔽的渗透手法成为GitHub Actions投毒史上最具破坏力的案例之一也为全球开源生态敲响了新的安全警钟。攻击规模与伪造身份SafeDep安全团队的事后追踪显示攻击者在当日集中动用了大量一次性账户。这些账户采用随机生成的八字符用户名向5,561个仓库累计推送了5,718个恶意提交。为了降低被人工审查发现的概率攻击者精心伪造了提交者身份诸如build-bot、auto-ci、ci-bot、pipeline-bot等名称配合build-systemnoreply.dev与ci-botautomated.dev这类邮箱地址从外观上模仿日常自动化构建系统的例行维护行为。提交信息的设计同样充满迷惑性。ci添加构建优化步骤、chore优化管道运行时这类措辞看似平淡无奇实则刻意贴合正常开发团队的协作习惯。许多维护者在快速浏览提交列表时极易将其误判为常规的CI配置更新从而跳过深入审查。双轨制载荷批量渗透与精准潜伏此次行动并非单一模式的无差别轰炸而是采用了两种互补的GitHub Actions工作流变体背后共享同一台位于216.126.225.129:8443的C2服务器。SysDiag属于批量扩散版本。它的核心动作是在目标仓库中植入.github/workflows/ci.yml文件触发器设置为pull_request_target与push。这意味着只要仓库的任何分支发生提交恶意代码就会自动执行覆盖范围极广。Optimize-Build则走精准潜伏路线。攻击者不会新增文件而是直接篡改仓库中已有的工作流配置将原有触发器替换为workflow_dispatch。这种改动的隐蔽性更高因为表面上不会产生任何异常的CI运行记录也不会引发构建失败。攻击者可以通过GitHub API在需要时远程静默激活后门实现按需唤醒。两种变体在权限申请上高度一致均要求id-token: write与actions: read。这类权限足以窃取OIDC令牌进而冒充合法身份访问云资源为后续横向移动铺平道路。多阶段凭证窃取机制被触发的载荷是一段经过base64编码的bash脚本展开后达111行。其执行逻辑呈现出典型的多阶段窃取特征几乎覆盖了CI/CD环境中所有可能存放敏感凭证的位置。脚本启动后会立即读取全部CI环境变量同时遍历/proc/*/environ以及PID 1的环境数据。随后它会在各主流云平台的配置文件中翻找AWS访问密钥、会话令牌调用gcloud auth print-access-token获取GCP临时凭证并向AWS IMDSv2、GCP元数据端点以及Azure IMDS发起请求抓取实例级别的实时认证信息。本地凭证也未能幸免。SSH私钥、Docker认证配置、.npmrc、.netrc、Kubernetes集群配置、Vault令牌以及Terraform状态文件均被纳入扫描范围。更激进的是脚本还会用grep命令在源代码中匹配超过30种正则表达式模式涵盖API密钥、JWT令牌、数据库连接字符串、PEM私钥及各类云访问令牌。这种环境文件源码的三层收割策略大幅提升了敏感信息外泄的概率。Tiledesk事件从代码库到npm的连锁污染在这场大规模扫描中开源在线聊天平台Tiledesk遭受了最为严重的下游冲击。攻击者成功渗透了Tiledesk的GitHub仓库通过提交acac5a9将原本合法的Docker构建工作流替换为Optimize-Build后门。由于应用层源代码本身未被改动仅工作流文件发生了变更这种细微差异在版本发布前的审查中极易被忽视。维护者在不知情的状态下将受污染的tiledesk/tiledesk-server2.18.6至2.18.12版本陆续发布至npm注册表。后门由此从代码托管平台延伸至包管理生态任何安装或升级至这些版本的开发者其CI环境都可能面临凭证泄露风险。这一链条清晰地展示了现代软件供应链中代码库—CI系统—包注册表的脆弱传导关系。入侵指标梳理对于安全运营团队而言以下IoC可用于内部威胁情报平台如MISP、VirusTotal或SIEM的关联检测表格指标类型具体数值C2服务器hxxp://216[.]126[.]225[.]129:8443活动标识megalodon伪造邮箱build-systemnoreply[.]dev、ci-botautomated[.]dev伪造作者build-bot、auto-ci、ci-bot、pipeline-bot批量工作流.github/workflows/ci.ymlSysDiag变体目标工作流Optimize-Buildworkflow_dispatch触发受影响npm版本tiledesk/tiledesk-server 2.18.6–2.18.12恶意提交acac5a9854650c4ae2883c4740bf87d34120c038需要说明的是上述IP地址与域名中的分隔符已做脱敏处理目的是防止在文档阅读或复制过程中意外触发解析。实际投入检测规则时需还原为真实地址格式。企业级缓解与长期加固面对此类针对CI/CD管道的自动化攻击组织需要建立覆盖代码、凭证与云资源的多维响应机制。若仓库在2026年5月18日前后收到过来自build-systemnoreply.dev或ci-botautomated.dev的提交应立即启动溯源排查。首要动作是回滚所有可疑提交并对.github/workflows/目录下的全部文件进行逐行审计确认是否存在未经授权的触发器变更或base64编码的异常脚本。所有可能被GitHub Actions运行器接触到的凭证——包括个人访问令牌、API密钥、SSH密钥及云服务商IAM凭据——都应执行紧急轮换避免历史泄露数据被长期利用。云侧同样需要加强监控。安全团队应审查近期日志重点关注来自未知工作流或异常IP的OIDC令牌请求。GitHub仓库的Actions选项卡也值得仔细核对排查是否有未预期的workflow_dispatch手动执行记录。从架构层面看将GitHub Actions引用的第三方动作固定到具体的提交SHA值而非使用可变的版本标签能够显著降低供应链被污染后的影响面。对于外部贡献者发起的拉取请求启用工作流审批机制也是必要的隔离手段防止未经审核的CI配置直接生效。SafeDep的Malysis引擎正是在分析tiledesk/tiledesk-server2.18.12的捆绑工作流文件时通过识别其中的base64编码载荷率先标记了这起攻击。这也从侧面印证在代码审查之外部署自动化的供应链扫描能力已成为捕获高隐蔽性威胁的关键补充。
