Szoftverellátásilánc-támadások
A GitGuardian szerint 2026. május 18. és június 1. között négy egymástól független, de azonos célú szoftverellátásilánc-támadás zajlott le, amelyek az npm, PyPI, Crates.io, GitHub Actions és Composer ökoszisztémákat célozták. A kampányok közös jellemzője nem a hagyományos malware-terjesztés volt, hanem a fejlesztői környezetekben tárolt hitelesítő adatok, CI/CD bizalmi és felhőszolgáltatási kulcsok megszerzése.
A legnagyobb incidens a Megalodon művelet volt, amely során automatizált módon több mint 5500 GitHub-tárolóbajuttattak rosszindulatú GitHub Actions munkafolyamatokat. A hamis CI-optimalizáló frissítések Base64-kódolt Bash-szkripteket futtattak, amelyek GitHub Actions tokeneket, AWS-, Azure- és GCP-hitelesítő adatokat, SSH-kulcsokat, OIDC-tokeneket és egyéb titkos adatokat továbbítottak a támadók vezérlőszervereire. A kampány egyik változata ráadásul rejtett hátsó kapuként csak manuális indításra aktiválódott.
A második kampányban a támadók a népszerű Laravel-Lang Composer-csomagok Git-címkéit írták át, így több mint 700 korábbi verzió vált rosszindulatúvá. A telepített kód a fejlesztői munkaállomásról felhőszolgáltatási kulcsokat, Vault-tokeneket, SSH-kulcsokat, böngészőben tárolt jelszavakat és kriptotárcákhoz kapcsolódó adatokat gyűjtött.
A harmadik TrapDoor művelet egyszerre támadta az npm, PyPI és Crates.io csomagtárakat. A rosszindulatú csomagok az adott ökoszisztéma saját mechanizmusait használták ki, npm esetén postinstall, PyPI alatt importáláskor, Rust környezetben pedig a build.rs fordítási folyamat során futottak le. Különösen jelentős volt a Red Hat npm-csomagjait érintő kompromittálás, ahol egy fejlesztő GitHub-fiókjának eltérítésével és a GitHub OIDC trusted publishing mechanizmusának visszaélésével kerültek ki fertőzött verziók.
A GitGuardian szerint a négy incidens egyértelműen azt mutatja, hogy a támadók elsődleges célpontjává a nem emberi identitások (Non-Human Identities – NHI) és a fejlesztői környezetekben tárolt titkos hozzáférési adatok váltak. Egyetlen kompromittált CI/CD-token vagy felhőkulcs teljes vállalati infrastruktúrához biztosíthat hozzáférést, ezért a szervezet szerint a titkok folyamatos monitorozása, a minimális jogosultság elve és a hitelesítő adatok rendszeres rotációja ma már a szoftverellátási lánc védelmének alapvető követelménye.
