セキュリティ企業SafeDepは、GitHub Actionsを利用した大規模攻撃キャンペーン「Megalodon」を報告しました。約6時間にわたるこの攻撃では、5,718件の悪意あるコミットが5,561個のGitHubリポジトリに自動的にプッシュされました。

具体的な手口は、使い捨てアカウントを使用して一般的なCIボットに偽装し、GitHub Actionsのワークフローに悪意のあるbashスクリプトを注入。攻撃者は環境から各種機密情報を収集し、C2サーバーへ送信します。

侵害された情報には、クラウド認証情報、シークレット情報、SSH鍵などが含まれます。また、攻撃者は個人アクセストークンやデプロイキーを利用してプッシュを行い、侵入を隠蔽しました。攻撃では「SysDiag」、「Optimize-Build」という2種類のスクリプトが確認されました。