C
月内に
GitHub上の5,500以上のリポジトリを標的とした「Megalodon」と呼ばれる自動化キャンペーンが検出されました
📌 一言でいうと
GitHub上の5,500以上のリポジトリを標的とした「Megalodon」と呼ばれる自動化キャンペーンが検出されました。攻撃者は悪意のあるコミットをプッシュし、リポジトリ所有者がこれをマージすると、CI/CDパイプライン内でマルウェアが実行されます。このマルウェアはAWS、Google Cloud、Azureの認証情報やSSH秘密鍵、GitHubトークンなどの機密情報を窃取し、外部へ送信します。
🔍該当判定
- GitHubでソースコードを管理し、GitHub ActionsなどのCI/CD機能を利用している
- AWS、Google Cloud (GCP)、Azureなどのクラウドサービスを業務で利用している
- GitHub上のリポジトリで、外部からのプルリクエストを十分に確認せずマージ(統合)した心当たりがある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なプルリクエストやコミットを安易にマージしないこと。CI/CD環境で使用するシークレットの権限を最小限に制限し、定期的にローテーションを行うこと。また、リポジトリのコミット履歴に不審な変更がないか確認することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHubリポジトリを標的とした「Megalodon」キャンペーンへの対応について
お疲れさまです。GitHub上のリポジトリを標的としたサプライチェーン攻撃に関する情報共有です。
■ 概要
「Megalodon」と呼ばれる自動化キャンペーンにより、5,500以上のGitHubリポジトリに悪意のあるコミットがプッシュされています。管理者がこれをマージすると、CI/CDパイプライン内でマルウェアが動作し、クラウドプラットフォーム(AWS, GCP, Azure)の認証情報やGitHubトークン、SSH鍵などが窃取されます。
■ 影響範囲
- GitHubでCI/CDパイプラインを利用しているリポジトリ
■ 対応手順
1. 外部からの不審なプルリクエストや、意図しないコミットがマージされていないか確認してください。
2. CI/CD環境に保存されているシークレット(AWSキー、GCPトークン等)の漏洩を想定し、必要に応じてキーのローテーションを実施してください。
3. 最小権限の原則に基づき、CI/CDパイプラインに付与する権限を再点検してください。
■ 参考情報
- SafeDep / Ox Security ブログ
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。GitHub上のリポジトリを標的としたサプライチェーン攻撃に関する情報共有です。
■ 概要
「Megalodon」と呼ばれる自動化キャンペーンにより、5,500以上のGitHubリポジトリに悪意のあるコミットがプッシュされています。管理者がこれをマージすると、CI/CDパイプライン内でマルウェアが動作し、クラウドプラットフォーム(AWS, GCP, Azure)の認証情報やGitHubトークン、SSH鍵などが窃取されます。
■ 影響範囲
- GitHubでCI/CDパイプラインを利用しているリポジトリ
■ 対応手順
1. 外部からの不審なプルリクエストや、意図しないコミットがマージされていないか確認してください。
2. CI/CD環境に保存されているシークレット(AWSキー、GCPトークン等)の漏洩を想定し、必要に応じてキーのローテーションを実施してください。
3. 最小権限の原則に基づき、CI/CDパイプラインに付与する権限を再点検してください。
■ 参考情報
- SafeDep / Ox Security ブログ
対応優先度: 高
対応期限: 速やかに確認
Subject: [Alert] Megalodon Campaign Targeting GitHub Repositories
Dear Team,
We are sharing information regarding a supply chain attack campaign known as "Megalodon."
■ Overview
An automated campaign has pushed malicious commits to over 5,500 GitHub repositories. If these commits are merged, malware executes within the CI/CD pipeline to exfiltrate sensitive data, including AWS, GCP, and Azure credentials, SSH private keys, and GitHub tokens.
■ Scope
- Repositories utilizing GitHub CI/CD pipelines.
■ Action Plan
1. Audit recent commits and pull requests for any unauthorized or suspicious changes.
2. Rotate secrets (cloud access keys, tokens) stored in CI/CD environments as a precautionary measure.
3. Review and enforce the principle of least privilege for CI/CD pipeline identities.
■ Reference
- SafeDep / Ox Security reports
Priority: High
Deadline: Immediate review
Dear Team,
We are sharing information regarding a supply chain attack campaign known as "Megalodon."
■ Overview
An automated campaign has pushed malicious commits to over 5,500 GitHub repositories. If these commits are merged, malware executes within the CI/CD pipeline to exfiltrate sensitive data, including AWS, GCP, and Azure credentials, SSH private keys, and GitHub tokens.
■ Scope
- Repositories utilizing GitHub CI/CD pipelines.
■ Action Plan
1. Audit recent commits and pull requests for any unauthorized or suspicious changes.
2. Rotate secrets (cloud access keys, tokens) stored in CI/CD environments as a precautionary measure.
3. Review and enforce the principle of least privilege for CI/CD pipeline identities.
■ Reference
- SafeDep / Ox Security reports
Priority: High
Deadline: Immediate review