网络安全公司 SafeDep 近日披露了一起代号为“Megalodon”的大规模供应链攻击事件。2024 年 5 月 18 日,超过 5700 个恶意提交被推送到 GitHub 仓库,攻击者使用 base64 编码的密钥窃取 payload 替换了 GitHub Actions 工作流。
攻击手法与目标
攻击者将恶意负载经过 base64 编码后嵌入 GitHub Actions 工作流文件,从而替换原有的正常构建步骤。当开发者触发 CI 流程时,该恶意 payload 会收集仓库中的环境变量、访问令牌等敏感凭证,并将其回传至攻击者控制的服务器。这种利用 CI/CD 管道权限窃取密钥的方式,能够绕过传统的代码审查安全机制。
根据 SafeDep 的披露,此次攻击的影响范围广泛,目标包括 Tiledesk(9 个仓库)、Black-Iron-Project(8 个仓库)以及数百个其他代码仓库。被入侵的仓库覆盖多个开源和商业项目,攻击者试图通过劫持 CI 流程获取开发者的身份凭证,进而向更深层的软件供应链渗透。
事件分析
本次攻击事件再次凸显了软件供应链安全的脆弱性。CI/CD 系统因具备高权限访问能力,正成为攻击者投毒的重点目标。GitHub Actions 作为广泛使用的持续集成服务,其工作流文件的完整性直接关系到整个开发流程的安全。开发团队应加强对 CI 配置文件的权限管控和变更审计,防范类似“Megalodon”式的供应链投毒攻击。
本文参考来源:OSCHINA 社区最新新闻
微信扫描下方的二维码阅读本文
