Светот на сајбер безбедноста овој мај се соочи со една од најагресивните кампањи за труење на синџирот за снабдување софтвер досега. На 18 мај 2026 година, во период од само шест часа, координирана автоматизирана операција наречена Мегалодон (Megalodon) успеа да зарази над 5.500 јавни репозиториуми на GitHub преку малициозни GitHub Actions работни тек, ставајќи под удар илјадници проекти со отворен код и приватни корпоративни репозиториуми низ светот.
Според сајбербезбедносната компанија SafeDep, која прва ја детектираше операцијата преку својот заштитен мотор Malysis, напаѓачите пуштиле 5.718 малициозни commit-ови во 5.561 репозиториум помеѓу 11:36 и 17:48 часот UTC. Извештајот на SecurityWeek дополнително потврдува дека станува збор за една од најголемите операции за труење на GitHub Actions работни тек регистрирана досега.
Како работеше нападот
Мегалодон е учебнички пример за модерен напад на синџирот за снабдување. Наместо да го напаѓаат самиот код на апликациите, напаѓачите ги нападнаа CI/CD pipeline-овите, односно автоматизираните процеси за интеграција и испорака на софтвер кои секој развоен тим ги користи секојдневно.
Напаѓачите создадоа привремени GitHub профили со случајно генерирани кориснички имиња од осум знаци, како на пример rkb8el9r и bhlru9nr, а потоа фалсификуваа идентитети на автори кои изгледаа како рутински DevOps ботови: build-bot, auto-ci, ci-bot и pipeline-bot. Имејл адресите што ги користеа, [email protected] и [email protected], беа осмислени да изгледаат како легитимни автоматизирани сервиси.
Самите commit пораки беа маестрално прикриени. Текстови како „ci: add build optimization step” или „chore: optimize pipeline runtime” се мешаа невидливо во вообичаените истории на CI одржување. Дури и искусен инженер при брза проверка на кодот тешко би забележал дека нешто не е во ред.
Што се краде од заразените машини
Полезниот товар на Мегалодон е дизајниран да ги извлече сите тајни до кои може да дојде во рамките на CI околината. Според техничката анализа на StepSecurity, таргетите вклучуваат:
- сите променливи на CI околината,
- AWS пристапни клучеви,
- GCP OAuth токени,
- Azure креденцијали,
- SSH приватни клучеви,
- Docker и Kubernetes конфигурации,
- API клучеви,
- стрингови за конекција со бази на податоци,
- GitHub Actions токени и
- GitLab CI/CD токени.
Особено опасно е тоа што кога репозиториумот дава дозвола id-token: write, може да се генерираат краткорочни OIDC токени кои директно се автентицираат кај облачните провајдери, без потреба од статични кориснички имиња и лозинки. Тоа значи дека напаѓачите потенцијално добиваат пристап до облачната инфраструктура на жртвите, дури и без да го допрат самиот код на нивните апликации.
Сите украдени податоци се испраќаат до командно-контролен сервер на адресата 216.126.225.129, при што името „megalodon” се користи како параметар во HTTP барањата.
Tiledesk како почетна жртва
Кампањата е откриена откако малициозни верзии на Tiledesk, популарна платформа со отворен код за чет во живо и chatbot, беа идентификувани во NPM регистарот. Заразените пакети беа објавени помеѓу 19 и 21 мај, и тоа од истиот NPM налог кој претходно објавил легитимна верзија 2.18.5.
„Истиот NPM налог, eljohnny, ги објави и чистата верзија 2.18.5 и компромитираните верзии. Нападачот воопшто не го допре NPM налогот. Тие го компромитираа GitHub репозиториумот, а одржувачот објави од отруениот извор без воопшто да забележи”, објаснува SafeDep во својот извештај, цитиран од SecurityWeek.
Ова е класичен случај на каскаден ефект: еден компромитиран репозиториум доведе до седум малициозни NPM верзии, кои потоа можеле да се прошират низ илјадници проекти кои го користат Tiledesk како зависност.
Помасовен тренд: инфостилери како почетна точка
Безбедносната компанија Hudson Rock открила дека многу од компромитираните GitHub налози всушност припаѓале на развивачи чии лични или работни компјутери биле претходно заразени со таканаречени infostealer малициозни програми. Овие програми, кои тивко крадат пристапни податоци од прелистувачите и системите на жртвите, претходно се откриле имејл адресите поврзани со заразените компјутери.
Ова значи дека Мегалодон не е изолиран инцидент, туку дел од пошироко екосистем во кој украдените креденцијали од обични корисници стануваат гориво за масовни напади на синџирот за снабдување.
Што треба да направат развивачите
Според препораките на повеќе безбедносни компании, секој развивач или организација чиј репозиториум добил commit од [email protected] или [email protected] на 18 мај 2026 година треба веднаш да:
- го врати малициозниот commit,
- ги ротира сите тајни кои биле достапни во CI околината,
- ги провери логовите за необични пристапи кај облачните провајдери,
- активира построги правила за заштита на гранки (branch protection),
- воведе задолжителна двофакторска автентикација за сите соработници.
OX Security, една од првите компании која ја анализираше кампањата, предупредува дека ова е почетокот на нова ера на сајбер напади насочени токму кон развивачите.
„Влеговме во нова ера на напади на синџирот за снабдување, а компромитирањето на GitHub беше само почетокот. Она што следува е бесконечен бран, цунами од сајбер напади врз развивачите ширум светот. Хакирањето на GitHub не беше само хак. Тоа ја компромитира безбедноста на секоја компанија со приватен репозиториум хостиран на платформата”, стои во анализата на OX Security.
Заклучок: довербата веќе не е опција
Мегалодон испраќа јасна порака до целата технолошка индустрија. Принципите на нулта доверба (zero-trust), кои до пред неколку години се сметаа за претерано построги, сега стануваат стандард. Платформите како GitHub и NPM, кои традиционално се користат како синоним за доверба, се покажаа како вектори за масовни напади.
За македонските развивачи и компании кои секојдневно работат со отворен код, ова е сериозна потсетувачка дека секоја зависност, секој автоматизиран процес и секој надворешен сервис мора да биде третиран со здрав скептицизам. Времето кога една едноставна команда composer update или npm install беше безопасна рутина дефинитивно е зад нас.
Оваа содржина е генерирана со помош на вештачка интелигенција, но е внимателно проверена, уредена и дополнета од уредничкиот тим на IT.mk, со цел да обезбедиме точни, релевантни и квалитетни информации за читателите.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
