Megalodon napad: Preko 5.500 GitHub repozitorijuma zaraženo za nekoliko sati
Megalodon napad je za šest sati zarazilo više od 5.500 GitHub repozitorijuma automatizovanim loše namernim radnim tokovima, zahvatajući i npm pakete.
Šta se desilo?
Automatizovani napad na lanac snabdevanja, poznat kao Megalodon, pogodio je GitHub 18. maja 2026. godine. Napadač je za manje od šest sati ubacio zlonamerne CI/CD loše namere u više od 5.500 repozitorijuma koristeći privremene račune sa nasumičnim korisničkim imenima. Ovaj napad predstavlja jedan od najagresivnijih pokušaja trovanja GitHub Actions radnih tokova do sada.
Koga pogađa?
Rizik pogađa sve razvojne timove i organizacije koje koriste GitHub za upravljanje kodom. Posebno su ugroženi oni čiji su repozitorijumi korišćeni kao vektor napada, kao i krajnji korisnici softverskih paketa koji su objavljeni iz zaraženih repozitorijuma. Izveštaji pokazuju da je open-source platforma Tiledesk posebno pogođena, sa zlonamerno izmenjenim verzijama objavljenim na npm registru.
Kako se zaštititi?
- Odmah proverite sve radne tokove u direktorijumu .github/workflows/ i potražite sumnjive promene od 18. maja 2026.
- Preispitajte sve komitove potekle sa e-poštanskih adresa build-system@noreply.dev ili ci-bot@automated.dev
- Opozvite sve tajne i pristupne ključeve dostupne GitHub Actions izvršavačima
- Pregledajte historiju cloud zapisnika u potražnji za neobičnim zahtevima za OIDC tokene
- Prikvačite GitHub Actions na konkretne heš kodove umesto na pokretne oznake verzije
- Implementirajte odeverzavanje za zahteve iz eksternih saradnika
- Koristite alate za automatizovanu analizu lanaca snabdevanja
Tehnički detalji
Napadač je koristio C2 server na 216.126.225.129:8443. Kampanja je korišćena dva varijanta štetnog radnog toka: SysDiag verziju koja se aktivira na svakom push i pull_request_target događaju, i Optimize-Build verziju sa workflow_dispatch triggerom koja stvara skrivenu loše nameru. Obe verzije traže povećane dozvole (id-token: write i actions: read) za krađu OIDC tokena. Korisničke identitete korišćeni u napadu: build-bot, auto-ci, ci-bot i pipeline-bot. Korisničke identitete korišćeni u napadu: build-bot, auto-ci, ci-bot i pipeline-bot. Osnovna šetnja, 111-linijski bash skript, prikuplja kredencijale iz CI okoline, AWS profila, GCP pristupnih tokena, SSH privatnih ključeva, Docker autentifikacije, npm konfiguracije, Kubernetes konfiguracije, Vault tokena i Terraform kredencijala. Maliciozni komit je identifikovan kao acac5a9854650c4ae2883c4740bf87d34120c038. Pogođene npm verzije su @tiledesk/tiledesk-server 2.18.6 do 2.18.12.
Preporuka Sajber Radara
Ozbiljnost ovog napada leži u činjenici da je kombinovao kompromitovanje repozitorijuma sa zagađenjem npm paketa. Preporučujemo svim razvijačima i organizacijama da odmah auditorski pregledu svoje GitHub radne tokove i aktuelizuju sve zavislosti iz ciklusa od 18. maja 2026. Automatizovani alati za skeniranje lanaca snabdevanja postaju neophodna zaštita protiv ovakvih napada.