Peneliti keamanan mengatakan 5.500 repositori GitHub telah terkena dampak serangan tersebut.
Oleh
Timotius Beck Werth
Editor Teknologi
Timothy Beck Werth adalah Editor Teknologi di Mashable, tempat dia memimpin liputan dan penugasan untuk sektor Teknologi dan Belanja. Tim memiliki pengalaman lebih dari 15 tahun sebagai jurnalis dan editor, dan dia memiliki pengalaman khusus dalam meliput dan menguji teknologi konsumen, gadget rumah pintar, serta produk perawatan dan gaya pria. Sebelumnya, dia adalah Managing Editor dan kemudian Direktur Situs SPY.com, situs web ulasan produk dan gaya hidup pria. Sebagai penulis untuk GQ, dia meliput semuanya mulai dari kompetisi menunggang banteng hingga Lego terbaik untuk orang dewasa, dan dia juga berkontribusi pada publikasi seperti The Daily Beast, Gear Patrol, dan The Awl.
pada
Kredit: Jaque Silva/NurFoto/Shutterstock
Laporan baru masuk Pekan Keamanan memperingatkan tentang serangan siber yang menginfeksi 5.561 repositori sumber terbuka GitHub dengan malware.
Keamanan siber peneliti di SafeDep merinci bagaimana serangan rantai pasokan tanggal 18 Mei, yang dijuluki Megalodon, memanfaatkan alur kerja GitHub Actions untuk pada akhirnya mengambil kredensial pengguna dan data lainnya. Daftar lengkap repositori GitHub yang disusupi tersedia di Laporan keamanan SafeDep.
Laporan tersebut juga merinci bagaimana para peretas melakukan serangan tersebut:
Pada tanggal 18 Mei 2026, kampanye otomatis diberi nama kode megalodon mendorong 5.718 komitmen jahat ke 5.561 repositori GitHub dalam waktu enam jam. Menggunakan akun sekali pakai dan identitas penulis palsu (membangun-bot, diri-ci, di-bot, bot pipa), penyerang menyuntikkan alur kerja GitHub Actions yang berisi muatan bash berkode base64 yang mengekstrak rahasia CI, kredensial cloud, kunci SSH, token OIDC, dan rahasia kode sumber ke server C2 di 216.126.225.129:8443.
Sebuah posting blog di StepSecurity juga mendokumentasikan rincian serangan tersebut.
Kecepatan Cahaya yang Dapat Dihancurkan
“Megalodon adalah buku pelajaran Eksekusi Pipa Keracunan langsung (d-PPE) serangan, kelas serangan CI/CD di mana musuh dengan akses tulis ke repositori menyuntikkan kode berbahaya langsung ke file definisi alur kerja, menyebabkan sistem CI menjalankan perintah yang dikendalikan penyerang pada proses pipeline berikutnya,” postingan blog berbunyi. (Penekanan pada aslinya.)
Peneliti SafeDep memperingatkan pengguna GitHub yang terkena dampak serangan tersebut untuk mengembalikan repositori mereka dan mengaudit semua file alur kerja.
Pada tanggal 20 Mei, GitHub menerbitkan postingan blog tentang akses tidak sah ke repositori milik GitHub melalui perangkat karyawan yang disusupi, namun perusahaan belum mengatakan apa pun tentang dugaan serangan Megalodon.
Namun, pada 1 April, perusahaan menerbitkan postingan blog merinci tren baru serangan siber pada rantai pasokan sumber terbuka, yang sering kali dimulai dengan menyusupi alur kerja GitHub Actions, seperti dalam serangan Megalodon. Entri blog ini mencakup tip untuk proyek sumber terbuka tentang cara “mengamankan alur kerja GitHub Actions Anda” untuk mencegah jenis serangan ini di masa mendatang.
Timothy Beck Werth adalah Editor Teknologi di Mashable, tempat dia memimpin liputan dan penugasan untuk sektor Teknologi dan Belanja. Tim memiliki pengalaman lebih dari 15 tahun sebagai jurnalis dan editor, dan dia memiliki pengalaman khusus dalam meliput dan menguji teknologi konsumen, gadget rumah pintar, serta produk perawatan dan gaya pria. Sebelumnya, dia adalah Managing Editor dan kemudian Direktur Situs SPY.com, situs web ulasan produk dan gaya hidup pria. Sebagai penulis untuk GQ, dia meliput semuanya mulai dari kompetisi menunggang banteng hingga Lego terbaik untuk orang dewasa, dan dia juga berkontribusi pada publikasi seperti The Daily Beast, Gear Patrol, dan The Awl.
Tim belajar jurnalisme cetak di University of Southern California. Dia saat ini membagi waktunya antara Brooklyn, NY dan Charleston, SC. Dia saat ini sedang mengerjakan novel keduanya, sebuah buku fiksi ilmiah.
Buletin ini mungkin berisi iklan, penawaran, atau tautan afiliasi. Dengan mengklik Berlangganan, Anda mengonfirmasi bahwa Anda berusia 16+ dan menyetujui kami Ketentuan Penggunaan Dan Kebijakan Privasi.
