Kampanye Megalodon Meracuni 5.561 Repositori GitHub melalui Backdoor Workflow CI/CD — Kredensial, Cloud Keys, dan OIDC Tokens Disalin

Pada 18 Mei 2026, kampanye rantai pasokan otomatis berskala besar yang dijuluki 'Megalodon' mendorong 5.718 commit berbahaya ke 5.561 repositori GitHub dalam jendela enam jam. Menggunakan akun sekali pakai dengan identitas penulis gaya bot yang dipalsukan (build-bot, auto-ci, ci-bot, pipeline-bot), penyerang menyuntikkan file workflow GitHub Actions berbahaya yang membawa muatan bash terenkode base64 yang, pada saat CI pipeline berikutnya berjalan, mengekstraksi variabel lingkungan CI, kredensial AWS, token akses GCP, kredensial Azure, kunci privat SSH, konfigurasi Docker/Kubernetes, token npm, dan token OIDC GitHub Actions ke server C2. Kampanye ini juga mengompromikan paket npm Tiledesk (@tiledesk/tiledesk-server versi 2.18.6–2.18.12), menyebarkan backdoor hilir melalui registri npm. Teknik serangan memetakan ke MITRE ATT&CK T1195.002 (Supply Chain Compromise).

Eksekusi Pipeline Beracun Langsung (d-PPE): penyerang dengan akses tulis (atau PR yang diterima dengan perlindungan cabang yang lemah) mendorong YAML workflow berbahaya langsung ke cabang default. Workflow memicu pada acara push atau pull_request_target, mengekstraksi semua rahasia pada saat CI berikutnya berjalan. Varian kedua menggunakan workflow_dispatch untuk aktivasi backdoor dorman melalui API GitHub. Vektor pencurian token OIDC sangat parah: repositori yang benar-benar scoped memungkinkan workflow berbahaya untuk mencetak token identitas cloud berumur pendek, memberikan akses cloud tanpa kredensial statis.

5.561+ repositori GitHub yang kekurangan ulasan PR wajib pada cabang default; versi paket npm Tiledesk 2.18.6–2.18.12; organisasi mana pun yang runner CI/CD-nya mengakses kredensial cloud atau federasi OIDC. Pipeline pengembangan AI yang menggunakan GitHub Actions untuk pelatihan model, pemrosesan dataset, atau penerapan agen berada langsung dalam cakupan.

1) Cari repositori Anda untuk commit dari build-system@noreply.dev atau ci-bot@automated.dev pada 18 Mei 2026; 2) Audit .github/workflows/ untuk nama workflow 'SysDiag' atau 'Optimize-Build'; 3) Blokir C2 di 216.126.225.129:8443; 4) Putar semua rahasia, cloud keys, SSH keys, dan kebijakan trust OIDC untuk repositori yang terpengaruh; 5) Copot @tiledesk/tiledesk-server versi 2.18.6–2.18.12; 6) Terapkan ulasan PR wajib pada semua cabang default; 7) Batasi kebijakan trust OIDC ke cabang dan lingkungan tertentu. SafeDep telah menerbitkan daftar lengkap 5.718 hash commit berbahaya.