Megalodon GitHub-aanval richt zich op 5.561 repo’s met kwaadaardige CI/CD-workflows

Cyberbeveiliging
Megalodon GitHub-aanval richt zich op 5.561 repo's met kwaadaardige CI/CD-workflows

Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe geautomatiseerde campagne genaamd Megalodon dat binnen een tijdsbestek van zes uur 5.718 kwaadaardige commits naar 5.561 GitHub-opslagplaatsen heeft gepusht.

“Met behulp van wegwerpaccounts en vervalste auteursidentiteiten (build-bot, auto-ci, ci-bot, pipeline-bot) injecteerde de aanvaller GitHub Actions-workflows met base64-gecodeerde bash-payloads die CI-geheimen, cloudreferenties, SSH-sleutels, OIDC-tokens en broncodegeheimen exfiltreren naar een C2-server op 216.126.225(.)129:8443”, zei SafeDep in een rapporteer.

De volledige lijst met gegevens die door de malware zijn verzameld, vindt u hieronder:

  • CI-omgevingsvariabelen, /proc/*/environ en PID 1-omgeving
  • Amazon Web Services (AWS)-referenties
  • Google Cloud-toegangstokens
  • Instance-rolreferenties verkregen door het opvragen van AWS IMDSv2, Google Cloud-metagegevens en Microsoft Azure Instance Metadata Service (IMDS)-eindpunten
  • SSH-privésleutels
  • Docker- en Kubernetes-configuraties
  • Kluistokens
  • Terraform-referenties
  • Shell-geschiedenis
  • API-sleutels, databaseverbindingsreeksen, JWT’s, PEM-privésleutels en cloudtokens die overeenkomen met meer dan 30 geheime reguliere expressiepatronen
  • GitHub-acties OIDC-tokenverzoek-URL en token
  • GITHUB_TOKEN, GitLab CI/CD-tokens en Bitbucket-tokens
  • .env-bestanden, Credentials.json, service-account.json en andere configuratiebestanden

Een van de getroffen pakketten is @tiledesk/tiledesk-server, dat een Base64-gecodeerde bash-payload bundelt in een GitHub Actions-workflowbestand. In totaal werden op 18 mei 2026, tussen 11:36 uur en 17:48 uur UTC, 5.718 commits gepusht tegen 5.561 verschillende repositories.

“De aanvaller wisselde vier auteursnamen af ​​(build-bot, auto-ci, ci-bot, pipeline-bot) en zeven commit-berichten, die allemaal routinematig CI-onderhoud nabootsten”, aldus SafeDep. “De aanvaller gebruikte wegwerpbare GitHub-accounts met willekeurige gebruikersnamen van 8 tekens (bijvoorbeeld rkb8el9r, bhlru9nr, lo6wt4t6), stelde git config in om de identiteit van de auteur te vervalsen en pushte via gecompromitteerde PAT’s of implementeerde sleutels.”

Er zijn twee varianten van de payload waargenomen als onderdeel van de grootschalige campagne: SysDiag, een massavariant die een nieuwe workflow toevoegt die wordt geactiveerd bij elk push- en pull-verzoek, en Optimize-Build, een gerichte variant die alleen wordt geactiveerd op workflow_dispatch, een GitHub Actions-trigger waarmee gebruikers handmatig een workflow op aanvraag kunnen uitvoeren. In het geval van Tiledesk wordt de gerichte aanpak gebruikt om CI/CD-hardlopers te targeten, en niet wanneer het npm-pakket is geïnstalleerd.

“De afweging is bereik: aan: push garandeert de uitvoering van elke commit om onder de knie te krijgen, waardoor meer doelen worden bereikt zonder tussenkomst”, voegde SafeDep eraan toe. “Workflow_dispatch offert dat op voor operationele veiligheid. Nu er meer dan 5.700 repo’s zijn aangetast, geeft zelfs een klein deel dat een bruikbare GITHUB_TOKEN oplevert, de aanvaller voldoende doelwitten voor on-demand triggering.”

Het resultaat is dat zodra de eigenaar van een repository de commit samenvoegt, de malware binnen de CI/CD-pijplijnen wordt uitgevoerd en zich verder verspreidt, waardoor diefstal van inloggegevens en geheimen op grote schaal mogelijk wordt.

“We zijn een nieuw tijdperk van aanvallen op de toeleveringsketen binnengegaan, en het compromitteren van GitHub door TeamPCP was nog maar het begin”, zegt Moshe Siman Tov Bustan van OX Security. “Wat daarna komt is een eindeloze golf, een tsunami van cyberaanvallen op ontwikkelaars wereldwijd.”

De ontwikkeling komt doordat TeamPCP de onderling verbonden software-toeleveringsketen heeft bewapend om honderden open-source tools te corrumperen, zich een weg te banen door verschillende ecosystemen en in sommige gevallen slachtoffers af te persen voor winst. GitHub, eigendom van Microsoft, is de nieuwste toevoeging aan de lange lijst met slachtoffers van de groep, waartoe ook TanStack, Grafana Labs, OpenAI en Mistral AI behoren.

TeamPCP-aanvallen hebben een cyclische exploitatie van populaire open-sourceprojecten aangewakkerd, waarbij het ene compromis het andere voedt, waardoor de malware zich als een lopend vuurtje op een wormachtige manier kan verspreiden. De groep lijkt ook financieel gemotiveerd te zijn en heeft partnerschappen gesloten met BreachForums en andere afpersingsploegen zoals LAPSUS$ en VECT.

Bovendien lijkt de groep ook geopolitiek gemotiveerd te zijn, zoals blijkt uit de inzet van wiper-malware bij het detecteren van machines in Iran en Israël.

De gevolgen van de aanvalsgolf van TeamPCP en de Mini Shai-Hulud-worm hebben npm ertoe aangezet granulaire toegangstokens ongeldig te maken met schrijftoegang die tweefactorauthenticatie (2FA) omzeilt. NPM dringt er ook bij gebruikers op aan om over te stappen op Trusted Publishing om de afhankelijkheid van dergelijke tokens te verminderen.

“Door elke bypass-2FA-token op het platform te verbranden, snijdt npm de inloggegevens af die de worm al heeft verzameld”, aldus applicatiebeveiligingsbedrijf Socket. “Onderhoudsters geven nieuwe uit. De worm, nog steeds actief in het wild, gaat weer aan de slag met het oogsten ervan. De reset geeft ademruimte en sluit het onderliggende gat niet af.”

Bij activiteitenclusters zoals Megalodon en TeamPCP worden legitieme pakketten gecompromitteerd om malware te verspreiden. Daarentegen is gebleken dat een wegwerpaccount met de naam “polymarketdev” binnen een tijdsbestek van 30 seconden negen kwaadaardige npm-pakketten publiceert die zich voordoen als Polymarket-handels-CLI-tools om de Ethereum/Polygon-privésleutels van slachtoffers te stelen via een postinstall-hook.

Op het moment van schrijven zijn ze nog steeds beschikbaar om te downloaden via npm. De namen van de pakketten staan ​​hieronder –

  • polymarket-trading-cli
  • polymarket-terminal
  • polymarkt-handel
  • polymarkt-autohandel
  • polymarket-copy-trading
  • polymarket-bot
  • polymarket-claude-code
  • polymarket-ai-agent
  • polymarkt-handelaar

“Bij de installatie geeft een postinstall-script een nep-wallet-onboarding-prompt weer waarin de gebruiker wordt gevraagd zijn privésleutel te plakken, waarbij wordt beweerd dat deze gecodeerd blijft”, aldus SafeDep. “Het script POST de onbewerkte sleutel in leesbare tekst naar een Cloudflare Worker op hxxps://polymarketbot.polymarketdev.workers(.)dev/v1/wallets/keys.”

“De aanvaller heeft een functionele handels-CLI gebouwd rond een diefstal van inloggegevens. Social engineering voert de aanval uit: de postinstall-prompt ziet eruit als standaard portemonnee-onboarding, de maskering bootst beveiligde invoer na en de GitHub-repository biedt valse geloofwaardigheid”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Kimwolf DDoS-botnetoperator gearresteerd in Canada wegens DDoS-for-Hire-aanvallen

Ghostwriter richt zich op Oekraïense overheidsinstanties met Prometheus phishing-malware

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]