✅ レポートタイトル：「Megalodon」：ソフトウェアサプライチェーン攻撃キャンペーン分析レポート

✅ レポートの要約：

- 2026年5月21日、GitHubを標的とした大規模なサプライチェーン攻撃キャンペーン「Megalodon」が確認され、詳細な分析を実施しました。

- SafeDepとOX Securityによると、当該キャンペーンは約6時間で5,500件以上のGitHubリポジトリに悪意のあるファイルをコミットしました。

- 脅威アクターは正規のGitHubリポジトリを侵害し、Actionワークフローファイルを改ざんしました。

- その結果、改ざんされたリポジトリのGitHub Actionワークフローを利用するユーザーが「Run Workflow」をクリックするか、APIを通じて実行した場合、改ざんされたペイロードが実行されました。

- ペイロードが実行されると、コードが実行されたシステム内で、クラウドサービスの認証情報を含む広範な認証情報が窃取され、脅威アクターが管理するC2サーバーへ送信されます。

- 最終的に、脅威アクターは窃取した認証情報を利用して、追加システムへのアクセスや改ざんなどの追加攻撃を実行できます。

- 脅威アクターによって改ざんされた悪意のあるワークフローは、Base64エンコードされたペイロードを実行します。

- 復号されたペイロードは実行時に一時ディレクトリを作成し、侵害されたシステム内の環境変数、認証トークン、AWS関連の認証情報、シークレットファイルなど、広範な機密情報を収集します。

- 収集された機密情報はPOSTリクエストを通じてC2サーバーへ送信されます。

- 認証情報や機密情報の窃取が完了した後、コマンド実行結果を保存するために使用された一時ディレクトリは、'trap "rm -rf '$TMP_DIR'" EXIT' コマンドによって削除されます。

- これは、その後のフォレンジック調査で識別される可能性のある痕跡を最小化するためのプロセスと考えられます。

- 本マルウェアは実行時にソースコードリポジトリやCI/CD環境など広範な認証情報を収集するため、感染した場合は攻撃範囲が拡大し、内部システムへのさらなる侵害につながる可能性があります。

- そのため、リポジトリやCI/CD環境の完全性検証、長期間使用しているトークンの定期的な更新、システム内への認証情報の保存を最小化するなどの対策が必要です。

- 本マルウェアへの感染の兆候が確認された場合は、漏洩の可能性があるすべての認証情報を直ちに無効化し、再発行する手続きを実施してください。

🧑‍💻 レポート作成者: S2W 「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。