Security Week의 새로운 보고서는 5,561개의 GitHub 오픈 소스 저장소를 악성 코드로 감염시킨 사이버 공격에 대해 경고합니다.

SafeDep의 사이버 보안 연구원들은 Megalodon이라고 불리는 5월 18일 공급망 공격이 어떻게 GitHub Actions 워크플로를 활용하여 궁극적으로 사용자 자격 증명 및 기타 데이터를 수집했는지 자세히 설명했습니다. 손상된 GitHub 리포지토리의 전체 목록은 SafeDep 보안 보고서에서 확인할 수 있습니다.

보고서는 또한 해커들이 어떻게 공격을 수행했는지 자세히 설명합니다.

2026년 5월 18일, 코드명 메갈로돈 6시간 동안 5,718개의 악성 커밋을 5,561개의 GitHub 리포지토리에 푸시했습니다. 일회용 계정 및 위조된 작성자 신원 사용(빌드봇, 자동 CI, 사이봇, 파이프라인봇), 공격자는 CI 비밀, 클라우드 자격 증명, SSH 키, OIDC 토큰 및 소스 코드 비밀을 C2 서버로 유출하는 base64로 인코딩된 bash 페이로드가 포함된 GitHub Actions 워크플로를 주입했습니다. 216.126.225.129:8443.

StepSecurity의 블로그 게시물에도 공격 세부 정보가 문서화되어 있습니다.

“메갈로돈은 교과서다. 직접 중독 파이프라인 실행(d-PPE) 공격은 저장소에 대한 쓰기 액세스 권한이 있는 공격자가 악성 코드를 워크플로 정의 파일에 직접 주입하여 CI 시스템이 다음 파이프라인 실행에서 공격자가 제어하는 ​​명령을 실행하도록 하는 CI/CD 공격 클래스입니다.”라고 블로그 게시물에 나와 있습니다.

SafeDep 연구원들은 공격의 영향을 받은 GitHub 사용자에게 리포지토리를 되돌리고 모든 워크플로 파일을 감사하라고 경고했습니다.

5월 20일 GitHub는 손상된 직원 장치를 통해 GitHub 소유 저장소에 대한 무단 액세스에 대한 블로그 게시물을 게시했지만 회사는 Megalodon 공격 혐의에 대해 아무 말도 하지 않았습니다.

그러나 4월 1일, 회사는 Megalodon 공격처럼 GitHub Actions 워크플로를 손상시키는 것으로 시작되는 오픈 소스 공급망에 대한 새로운 사이버 공격 추세를 자세히 설명하는 블로그 게시물을 게시했습니다. 블로그 게시물에는 향후 이러한 유형의 공격을 정확하게 방지하기 위해 “GitHub Actions 워크플로를 보호하는 방법”에 대한 오픈 소스 프로젝트에 대한 팁이 포함되어 있습니다.