تعرضت سلسلة إمداد البرمجيات لهجوم واسع النطاق استهدف أكثر من 5,500 مستودع على منصة GitHub، عبر حقن ملفات GitHub Actions خبيثة مصممة لسرقة بيانات الاعتماد، والمفاتيح، والرموز السرية، من بيئات التطوير والتكامل المستمر (CI/CD).
أطلق باحثو SafeDep على الحملة اسم Megalodon، واعتمدت على تنفيذ “التزامات” (Commits) آلية مزيفة بدت كأنها تحديثات اعتيادية لخطوط البناء، إلا أنها كانت تهدف لإضافة أو تعديل ملفات سير العمل داخل المستودعات المتأثرة.
وأوضحت SafeDep أن الحملة مررت 5,718 التزاماً خبيثاً إلى 5,561 مستودعاً خلال نافذة زمنية لم تتجاوز 6 ساعات في 18 مايو 2026، تحديداً ما بين الساعة 11:36 و17:48 بالتوقيت العالمي. وقد استخدم المهاجمون هويات مؤلفين مزيفة مثل build-bot وauto-ci وci-bot وpipeline-bot، مع رسائل التزام تحاكي أعمال الصيانة المعتادة في بيئات CI/CD.
وتضمنت الحملة نمطين رئيسيين من الحمولة الخبيثة:
- النمط الأول: إضافة ملف سير عمل جديد يعمل عند كل عملية دفع أو طلب دمج، يتيح جمع الأسرار من بيئة التشغيل.
- النمط الثاني: استبدال ملفات سير عمل قائمة بمحفزات محددة، لإنشاء أبواب خلفية خاملة يمكن تفعيلها لاحقاً دون إثارة أخطاء بناء واضحة.
واستهدفت الحمولة الخبيثة مصفوفة واسعة من البيانات الحساسة، شملت متغيرات بيئة CI، ومفاتيح AWS، ورموز Google Cloud، وبيانات Azure، ومفاتيح SSH الخاصة، وملفات Docker وKubernetes، بالإضافة إلى رموز Vault وTerraform، وسلاسل اتصال قواعد البيانات، ورموز GitHub Actions وGitLab CI/CD، وغيرها من ملفات الإعدادات والأسرار الشائعة في بيئات النشر الآلي.
وتشير التفاصيل التقنية المنشورة من قبل SafeDep إلى أن الخطر يتجاوز كود التطبيق نفسه ليصل إلى طبقة البناء والنشر، التي غالباً ما تتمتع بصلاحيات واسعة للوصول إلى السحابة والمستودعات وسجلات الحزم. ويجعل هذا الاختراق في ملفات GitHub Actions نقطة انطلاق محتملة لهجمات أوسع تستهدف بيئات الإنتاج أو الحزم البرمجية اللاحقة.
وقد ظهر أثر هذه الحملة بوضوح في حزمة Tiledesk مفتوحة المصدر، حيث رصدت SafeDep إصدارات خبيثة منها نُشرت بين 19 و21 مايو 2026. ووفقاً للتقرير، لم يكن حساب npm نفسه نقطة الاختراق المباشرة، بل جرى تلويث مستودع GitHub أولاً، ومن ثم نشر المشرف إصدارات من مصدر مصاب دون إدراك بوجود الحمولة الخبيثة.
وأكدت تحليلات لاحقة من OX Security وCloud Security Alliance أن Megalodon يمثل نمطاً متصاعداً من تسميم خطوط CI/CD، حيث أصبحت ملفات سير العمل جزءاً أساسياً من سطح الهجوم. وتوصي الجهات البحثية بضرورة تدقيق كافة التغييرات على مجلد .github/workflows ومراجعة سجلات الالتزامات الصادرة بأسماء آلية، مع تدوير كافة الأسرار التي ربما تعرضت للاختراق داخل بيئات البناء بعد تاريخ 18 مايو 2026.
ويبرز هذا الهجوم حاجة المؤسسات الماسة للتعامل مع أنظمة CI/CD كبنية إنتاجية حساسة، وليست مجرد أدوات مساعدة؛ فوجود رموز نشر ومفاتيح سحابية داخل هذه البيئات يعني أن أي تعديل غير موثوق في ملفات التشغيل الآلي قد يمنح المهاجمين وصولاً يتجاوز المستودع المصاب ليشمل خدمات وبيئات تقنية أخرى.
