Megalodon kampány – GitHub backdoor
A SafeDep kutatása szerint a Megalodon kampány során több mint 5700 rosszindulatú commitot pusholtak GitHub repositorykba, amelyek a legitim GitHub Actions workflow-kat módosították titkos credential-exfiltrációs payloadokra. A támadók base64-kódolt szkripteket injektáltak CI/CD pipeline-okba, amelyek GitHub tokeneket, cloud credentialöket és más build secret adatokat loptak ki futás közben.
A kampány technikailag a GitHub Actions ökoszisztéma gyenge konfigurációira épült, különösen a túlzott jogosultságú pull_request_target workflow-kra és write jogosultságú CI tokenekre. A támadók automatizált módon keresték a sérülékeny repositorykat, majd kompromittált workflow-kon keresztül laterális mozgást hajtottak végre újabb repo-k felé. A módszer több elemében emlékeztetett a korábbi TeamPCP, Mini Shai-Hulud és HackerBot-Claw kampányokra.
A SafeDep szerint a támadások elsődleges célja CI/CD secret-ek, GitHub PAT tokenek, OIDC credentialök és cloud hozzáférések megszerzése volt. A kompromittált workflow-k automatikusan küldték ki az érzékeny adatokat külső infrastruktúrákra, miközben a pipeline továbbra is legitim buildfolyamatnak tűnt. A kampány jól mutatja, hogy a modern supply chain támadások fókusza egyre inkább a fejlesztői automatizációs rendszerek kompromittálása felé tolódik.
