Serangan siber Megalodon menginfeksi 5.500 repositori GitHub, demikian laporan

Serangan siber Megalodon menginfeksi 5.500 repositori GitHub, demikian laporan

oleh

Laporan terbaru dari Security Week memperingatkaan tentang serangan siber yang menginfeksi 5,561 repository open-source di GitHub dengan malware.

Peneliti keamanan siber dari SafeDep merinci bagaimana serangan rantai pasokan pada 18 Mei lalu, yang dijuluki Megalodon, mengeksploitasi alur kerja GitHub Actions untuk pada akhirnya mencuri kredensial pengguna dan data lainnya. Daftar lengkap repository GitHub yang terdampak tersedia di laporan keamanan SafeDep.

Laporan tersebut juga menguraikan bagaimana peretas menjalankan serangan ini:

Pada 18 Mei 2026, sebuah kampanye otomatis berkode nama Megalodon mendorong 5.718 commit jahat ke 5.561 repository GitHub dalam enam jam. Menggunakan akun throwaway dan identitas penulis palsu (build-bot, auto-ci, ci-bot, pipeline-bot), penyerang menyuntikkan alur kerja GitHub Actions yang berisi muatan bash terenkode base64. Muatan ini mengeksfiltrasi rahasia CI, kredensial cloud, key SSH, token OIDC, dan rahasia kode sumber ke server C2 di 216.126.225.129:8443.

Sebuah kiriman blog di StepSecurity juga mendokumentasikan detail serangan ini.

"Megalodon adalah contoh klasik serangan Direct Poisoned Pipeline Execution (d-PPE), kelas serangan CI/CD dimana lawan yang memiliki akses tulis ke suatu repository menyuntikkan kode berbahaya langsung ke file definisi alur kerja, menyebabkan sistem CI mengeksekusi perintah yang dikendalikan penyerang pada pipeline run berikutnya," demikian bunyi kiriman blog tersebut. (Penekanan pada teks asli.)

Peneliti SafeDep memperingatkan pengguna GitHub yang terdampak serangan ini untuk mengembalikan (revert) repository mereka dan mengaudit semua file alur kerja.

Pada 20 Mei, GitHub menerbitkan kiriman blog tentang akses tak sah ke repository milik GitHub melalui perangkat karyawan yang dikompromikan, namun perusahaan tersebut belum memberikan pernyataan apapun tentang serangan Megalodon yang diduga telah terjadi.

MEMBACA  Apakah Anda Sensitif terhadap Kebisingan? Begini Cara Mengetahuinya

Namun, pada 1 April lalu, perusahaan ini menerbitkan kiriman blog yang merinci tren baru serangan siber pada rantai pasokan open-source, yang seringkali dimulai dengan mengompromikan alur kerja GitHub Actions, seperti pada serangan Megalodon. Kiriman blog tersebut menyertakan kiat-kiat untuk proyek open-source tentang bagaimana "mengamankan alur kerja GitHub Actions kalian," tujuannya untuk mencegah jenis serangan serupa di masa depan.

Topik:
Aplikasi & Perangkat Lunak | Keamanan Siber

Tinggalkan komentar