聚焦源代码安全网罗国内外最新资讯编译代码卫士专栏·供应链安全数字化时代软件无处不在。软件如同社会中的“虚拟人”已经成为支撑社会正常运转的最基本元素之一软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展软件供应链也越发复杂多元复杂的软件供应链会引入一系列的安全问题导致信息系统的整体安全防护难度越来越大。近年来针对软件供应链的安全攻击事件一直呈快速增长态势造成的危害也越来越严重。为此我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯分析供应链安全风险提供缓解建议为供应链安全保驾护航。注以往发布的部分供应链安全相关内容请见文末“推荐阅读”部分。网络安全公司 SafeDep 发现了针对 GitHub 平台的一起大规模自动化攻击攻陷5561个仓库。该公司将这起供应链攻击命名为 “Megalodon”。这起攻击活动在短短6小时内推送了5718次虚假代码更新。研究人员发现攻击者将恶意脚本隐藏在干净文件内利用通过8个随机字符组成账号名称的GitHub 账号隐藏踪迹甚至利用虚假的发送者身份如 build-bot、auto-ci、ci-bot和 pipeline-bot等将系统设置更改为看似官方的自动化服务。该攻击活动发生的时间与 TeamPCP 黑客团伙相近说明开发人员已成为供应链攻击的活跃目标。在系统文件中隐藏后门研究人员提到攻击者主要使用了两种自动化代码技术。第一种较为广泛的版本名为 SysDiag。它会新增一个名为 .github/workflows/ci.yml 的文件每当开发者更新项目时该文件就会触发一个数据窃取脚本。另一种名为 Optimize-Build的方法更为隐蔽。它会替换现有的系统文件并利用一个称为 workflow_dispatch 的命令使恶意代码处于休眠状态从而避免触发构建失败告警或引发怀疑。攻击者可以随时通过 GitHub API 发送消息来唤醒这个后门。流行的在线聊天与聊天机器人服务 Tiledesk 是该攻击的主要受害者。据报道攻击者入侵了 Tiledesk 在 GitHub 上的九个代码区域。而且由于主开发人员没有意识到自己的文件已被投毒在 2026 年 5 月 19 日至 21 日期间无意中向公共 npm 包仓库发布了七个受感染的软件版本名为 tiledesk/tiledesk-server版本号 2.18.6 至 2.18.12。窃取私有云密钥该隐藏脚本一旦运行就会打开一个终端窗口并执行一个经过解码的 111 行后台程序然后复制内部文件和数据将这些数据发送到攻击者控制的 C2 服务器地址为 216.126.225.129:8443。该恶意软件会窃取 Amazon Web Services、Google Cloud、Microsoft Azure 等主流云系统的凭据并搜索系统日志、数字历史记录以及代码文件以获取 30 种类型的私有密码、数据库链接和秘密数字密钥。SafeDep 公司表示最糟糕的结果是攻击者可以窃取特殊的验证令牌从而“冒充 GitHub Actions 工作流”。这使得攻击者能够欺骗关联的云环境让其误以为他们是合法用户。SafeDep 强烈呼吁所有在 5 月 18 日收到来自 build-systemnoreply.dev 或 ci-botautomated.dev 等邮箱发来的异常代码更新的开发者立即撤销这些更改并立刻更换所有云服务的密码。开源卫士试用地址https://sast.qianxin.com/#/login代码卫士试用地址https://codesafe.qianxin.com推荐阅读在线阅读版《2025中国软件供应链安全分析报告》全文GitHub 被黑或因员工安装 Nx Console 恶意扩展引发更多详情待调查GitHub 内部仓库疑遭未授权访问TeamPCP 据称正在出售 GitHub 内部源代码奇安信Qcode Agents重磅升级正式解锁操作系统级漏洞挖掘能力Grafana 令牌被盗GitHub 环境可遭访问且代码库被下载TeamPCP再发动供应链攻击数百个恶意包被上传RubyGems 暂停新账号注册Checkmarx 再遭攻击Jenkins AST 插件受陷Go 流行库 fsnotify 的维护人员访问权限变更拉响供应链攻击警报Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险自传播供应链蠕虫劫持 npm 包窃取开发人员令牌Axios 严重漏洞可导致 RCETrivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播热门包管理器中存在多个漏洞JavaScript 生态系统易受供应链攻击开源自托管平台 Coolify 修复11个严重漏洞可导致服务器遭完全攻陷得不到就毁掉第二轮Sha1-Hulud供应链攻击已发起影响2.5万仓库vLLM 高危漏洞可导致RCE开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源热门 React Native NPM 包中存在严重漏洞开发人员易受攻击10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据热门 React Native NPM 包中存在严重漏洞开发人员易受攻击热门NPM库 “coa” 和“rc” 接连遭劫持影响全球的 React 管道开发人员注意VSCode 应用市场易被滥用于托管恶意扩展GitHub Copilot 严重漏洞可导致私有仓库源代码被盗受 Salesforce 供应链攻击影响全球汽车巨头 Stellantis 数据遭泄露捷豹路虎数据遭泄露生产仍未恢复幕后黑手或与 Salesforce-Salesloft 供应链攻击有关十几家安全大厂信息遭泄露谁是 Salesforce-Salesloft 供应链攻击的下一个受害者原文链接https://hackread.com/github-repositories-megalodon-supply-chain-attack/本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~