Yeni Bir Tehdit: Megalodon Otomatik Saldırı Kampanyası
Son günlerde siber güvenlik araştırmacıları, 5,561 GitHub deposuna 5,718 kötü niyetli commit gönderen yeni bir otomatik saldırı kampanyası olan Megalodon hakkında endişe verici detaylar paylaştı. Bu olay, yazılım geliştirme süreçlerinin güvenliğini tehdit eden önemli bir siber saldırının habercisi.
Saldırı Nasıl Çalışıyor?
Saldırganlar, GitHub Actions iş akışlarına base64 ile kodlanmış bash yükleri dahil ederek CI (Sürekli Entegrasyon) sırlarını, bulut kimlik bilgilerini, SSH anahtarlarını, OIDC token’larını ve kaynak kodu sırlarını bir C2 sunucusuna aktararak saldırı gerçekleştirmiştir. Bu saldırıda kullanılan bazı önemli veriler şunlardır:
- CI ortam değişkenleri, /proc/*/environ, ve PID 1 ortamı
- AWS (Amazon Web Services) kimlik bilgileri
- Google Cloud erişim jetonları
- AWS IMDSv2, Google Cloud metadata ve Microsoft Azure Instance Metadata Service (IMDS) uç noktalarından alınan örnek rol kimlik bilgileri
- SSH özel anahtarları
- Docker ve Kubernetes yapılandırmaları
- Vault jetonları
- Terraform kimlik bilgileri
- Shell geçmişi
- API anahtarları, veritabanı bağlantı dizeleri, JWT’ler, PEM özel anahtarları ve bulut jetonları gibi 30’dan fazla gizli düzenli ifade kalıbına uyan bilgiler
- GitHub Actions OIDC token istek URL’si ve token
- GITHUB_TOKEN, GitLab CI/CD tokenları ve Bitbucket tokenları
- .env dosyaları, credentials.json, service-account.json ve diğer yapılandırma dosyaları
Gözlemlenen iki farklı yük varyantı bulunmaktadır: SysDiag, her push ve pull isteğinde tetiklenen bir iş akışı eklerken; Optimize-Build, yalnızca workflow_dispatch ile tetiklenen bir yoldur.
Etkilenen Sistemler
Etkilenen paketlerden biri, bir GitHub Actions iş akışı dosyasında Base64 ile kodlanmış bir bash yükü içeren @tiledesk/tiledesk-serverdır. Saldırı, 18 Mayıs 2026’da UTC zamanı ile 11:36’dan 17:48’e kadar gerçekleşmiştir. Saldırgan, dört farklı yazar adı (build-bot, auto-ci, ci-bot, pipeline-bot) ve yedi commit mesajı kullanarak düşük profilde bir görünüm sağlamıştır.
Çözüm ve Korunma
Siber güvenlik uzmanları, bu tür saldırılara karşı aşağıdaki önlemleri önermektedir:
- GitHub Actions iş akışlarını dikkatlice gözden geçirin ve yetkisiz değişiklikleri kontrol edin.
- Olay sonrası, GitHub kullanıcı hesaplarınızı ve token’larınızı güncelleyin.
- CI/CD süreçlerinde en iyi güvenlik uygulamalarını uygulayın, örneğin, çok faktörlü kimlik doğrulama (MFA) kullanın.
- Sıfırlanan izinlerle yeni erişim token’ları oluşturun.
- Şüpheli paketleri ve bağlı kütüphaneleri kaldırın. Gerekirse, yeni bir geliştirme ortamı oluşturun.
Saldırganlar, CI/CD süreçlerine entegre olan bu yöntemlerle erişim sağladıkları kimlik bilgilerini kullanarak daha fazla sistem ele geçirmektedir.
Sonuç olarak, kullanıcıların tüm sistemlerini güvenli hale getirmek için güncellemeleri derhal uygulaması ve şüpheli aktiviteleri izlemeye devam etmesi kritik öneme sahiptir. Gelecekte olası daha büyük siber saldırılara karşı güvenlik önlemleri artırılmalıdır.
