5,500多个GitHub仓库被感染,CI/CD密钥、云凭证、SSH私钥统统被盗——这不是演习,是正在发生的供应链攻击。

安全公司SafeDep上周披露,一个名为"Megalodon"的攻击行动已渗透超过5,500个GitHub仓库。攻击者伪装成自动化机器人"build-bot"提交恶意代码,一旦维护者合并,窃密程序便立即激活,并以蠕虫方式向其他仓库扩散。

打开网易新闻 查看精彩图片

被盗数据清单令人心惊:AWS密钥、Google Cloud访问令牌、Azure实例凭证、SSH私钥、Docker与Kubernetes配置、Vault令牌、Terraform凭证等DevOps核心机密无一幸免。

更隐蔽的风险在下游。SafeDep记录了Tiledesk的案例:攻击者从未触碰npm账号,而是污染GitHub源码仓库。维护者Giovanni在不知情的情况下,于5月19日至21日连续发布了带后门的版本2.18.6至2.18.12。前端包管理平台成了二次传播的跳板。

Megalodon与近期活跃的TeamPCP手法相似,但SafeDep与The Register均指出这是独立 copycat 行为,并非TeamPCP在Breach Forums发起的"供应链攻击竞赛"的一部分。模仿本身成了新的攻击动机。

完整受感染仓库列表已由SafeDep公开。对于依赖开源生态的开发者而言,审查自动化提交的代码不再是可选项——你的下一个合并请求,可能正被盯着。