Back to Blog

แคมเปญ Megalodon โจมตี GitHub กว่า 5,561 Repository ด้วย CI/CD Workflows มุ่งร้าย

นักวิจัยความมั่นคงปลอดภัยเผยแคมเปญ Megalodon โจมตี GitHub กว่า 5,561 Repositories ด้วย CI/CD Workflows มุ่งร้ายภายใน 6 ชั่วโมง

Sales
1 min read
แคมเปญ Megalodon โจมตี GitHub กว่า 5,561 Repository ด้วย CI/CD Workflows มุ่งร้าย

นักวิจัยด้านความมั่นคงปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของแคมเปญอัตโนมัติรูปแบบใหม่ที่ใช้ชื่อว่า Megalodon ซึ่งพุ่งเป้าโจมตี GitHub repositories จำนวนมากถึง 5,561 แห่ง โดยมีการพุช commits ที่ไม่ปลอดภัยกว่า 5,718 ครั้งภายในระยะเวลาเพียง 6 ชั่วโมงเท่านั้น

แคมเปญนี้ใช้บัญชีชั่วคราวและข้อมูลผู้เขียนปลอม เช่น build-bot, auto-ci, ci-bot, pipeline-bot เพื่อแทรก GitHub Actions workflows ที่มี payload bash แบบ base64-encoded ซึ่งถูกออกแบบมาให้ขโมยข้อมูลจากระบบ CI และส่งต่อไปยังผู้โจมตี


รายละเอียดของแคมเปญ Megalodon


แคมเปญ Megalodon ถูกค้นพบโดยทีมนักวิจัยความมั่นคงปลอดภัย ซึ่งระบุว่าผู้โจมตีใช้เทคนิคการสร้างบัญชีชั่วคราว (throwaway accounts) และปลอมแปลงข้อมูลผู้เขียน commits เพื่อหลบเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยของ GitHub

การโจมตีเกิดขึ้นอย่างรวดเร็วและต่อเนื่อง โดยผู้ไม่หวังดีได้ทำการพุช malicious commits ไปยัง repositories จำนวนมากในเวลาใกล้เคียงกัน ซึ่งแสดงให้เห็นถึงความเป็นระบบอัตโนมัติที่ซับซ้อน


เทคนิคการแทรก CI/CD Workflows มุ่งร้าย


ผู้โจมตีทำการแทรก GitHub Actions workflows ที่มีคำสั่งที่เป็นอันตราย โดย payload ถูกเข้ารหัสด้วย base64 เพื่อซ่อนโค้ดที่แท้จริงจากระบบตรวจจับทั่วไป

เมื่อ workflows ถูกเรียกใช้งาน payload bash จะทำงานและทำการขโมยข้อมูล (exfiltrate) จากสภาพแวดล้อมของ CI/CD เช่น ตัวแปรแวดล้อม (environment variables), secrets, และข้อมูลสำคัญอื่น ๆ ก่อนส่งข้อมูลเหล่านั้นไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม


ผลกระทบและความเสี่ยงต่อนักพัฒนา


การโจมตีครั้งนี้ส่งผลกระทบต่อ repositories จำนวนมาก ซึ่งอาจรวมถึงโปรเจกต์โอเพนซอร์สและโปรเจกต์ส่วนตัวของนักพัฒนาทั่วโลก

ข้อมูลที่ถูกขโมยอาจนำไปสู่การโจมตีเพิ่มเติม เช่น การเข้าถึงระบบภายในขององค์กร, การขโมยโค้ดต้นฉบับ, หรือการใช้ secrets ที่รั่วไหลเพื่อแทรกซึมไปยังระบบอื่น ๆ


วิธีป้องกันและแนวทางปฏิบัติ


นักพัฒนาและองค์กรควรตรวจสอบ GitHub Actions workflows ใน repositories ของตนอย่างสม่ำเสมอ รวมถึงตรวจสอบว่ามี commits จากบัญชีที่ไม่รู้จักหรือมีพฤติกรรมน่าสงสัยหรือไม่

นอกจากนี้ การเปิดใช้งานการตรวจสอบ commits แบบสองชั้น (two-factor authentication) และการจำกัดสิทธิ์การเข้าถึง CI/CD pipelines ให้เฉพาะผู้ที่ได้รับอนุญาตเท่านั้นจะช่วยลดความเสี่ยงได้

การอัปเดตคำแนะนำจาก GitHub และทีมรักษาความปลอดภัยอย่างต่อเนื่องก็เป็นสิ่งสำคัญในการรับมือกับภัยคุกคามรูปแบบใหม่


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด