标签
2026年5月18日,大规模供应链攻击活动"Megalodon"在六小时内向5,561个GitHub仓库注入恶意GitHub Actions工作流,通过伪造提交信息将后门工作流文件(如SysDiag.yml、Optimize-Build.yml)直接推送到默认分支,成功窃取AWS/GCP/Azure云凭证、SSH密钥、API令牌及OIDC令牌。Tiledesk等开源项目确认受到影响,恶意载荷通过HTTPS向C2服务器216.126.225.129:8443传输数据。攻击利用仓库缺乏分支保护规则的漏洞,属于直接污染管道执行(d-PPE)攻击,建议立即启用强制PR审查并撤销可疑工作流派生的所有凭证。
GitGuardian研究人员在公开的GitHub和Docker Hub上扫描发现了44个活跃的Kubernetes集群凭证和2034个容器注册表凭证,其中46%的注册表凭证仍有效,30%的集群暴露超过两年。这些泄漏包括kubeconfig文件中的TLS证书、CI/CD中嵌入的无过期JWT令牌,以及GitHub、Docker Hub、Quay等平台的注册表凭证,可被用于横向移动、持久化和窃取更多凭证。防御措施包括:使用短生命周期凭证(OIDC)、最小权限原则、网络隔离、以及集群下线时及时撤销凭证。
GitGuardian于2026年5月14日发现名为"Private-CISA"的公开GitHub仓库泄露了CISA内部敏感数据,仓库包含844 MB的CI/CD日志、Kubernetes配置、Terraform代码、AWS凭证及内部文档备份。CISA在收到报告后于5月15日约18:00 EST下架了该仓库。此次泄露暴露了云基础设施、部署流程和软件供应链工具的完整运营图谱,攻击者可借此快速横向移动。防御建议包括使用HasMySecretLeaked验证凭证泄露情况,并对GitHub公开仓库进行安全审计以发现开发者或承包商引入的暴露面。
Shai-Hulud蠕虫已感染第三个npm包:intercom-client@7.0.4(周下载量361,510次),攻击者通过被劫持的GitHub Actions OIDC发布管道于4月30日14:41 UTC发布恶意版本,SLSA provenance签名缺失。该Payload(routerruntime.js)从窃取GitHub/npm令牌升级为多云凭证扫描器,可从AWS元数据端点(169.254.169.254)、GCP元数据服务器(metadata.google.internal)及Azure连接字符串中提取凭证,并通过api.github.com建立私有仓库完成数据外泄。建议立即降级至7.0.3并轮换所有CI/CD环境中暴露的云凭据。