นักวิจัยด้านความมั่นคงปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของแคมเปญโจมตีอัตโนมัติครั้งใหม่ภายใต้ชื่อ “Megalodon” ที่แพร่ลากเป็นวงกว้างบนแพลตฟอร์ม GitHub โดยกลุ่มผู้โจมตีได้ใช้วิธีการสร้างบัญชีทิ้งรั้ง (Throwaway accounts) และปลอมข้อมูลผู้สร้าง (เช่น build-bot, auto-ci, ci-bot) เพื่อหลีกเลี่ยงการตรวจจับ ก่อนจะทำการส่งคอมมิต์ (Commits) ที่เป็นมัลแวร์จำนวน 5,718 ครั้ง เข้าไปยังที่เก็บโค้ด (Repositories) ที่แตกต่างกันกว่า 5,561 แห่ง ภายในช่วงเวลาเพียง 6 ชั่วโมงเท่านั้น

ตัวการโจมตีนี้ทำงานโดยการแทรกซ้อน GitHub Actions Workflows ที่ถูกปนเปื้อนเข้าไปในโปรเจกต์ของเหยื่อ ภายใน Workflow เหล่านั้นจะมี Payload ที่เขียนด้วยภาษา Bash และถูกซ่อนไว้ด้วยการเข้ารหัสแบบ Base64 เพื่อทำให้นักพัฒนาหรือระบบตรวจสอบอัตโนมัติมองข้ามไปได้ง่าย

เมื่อระบบ CI/CD ทำงานตาม Workflow ดังกล่าว คำสั่งที่ซ่อนอยู่ก็จะถูกถอดรหัสและทำงานทันที ซึ่งเป้าหมายหลักของมัลแวร์ตัวนี้คือการลักลอบนำข้อมูลออกจากระบบ (Data Exfiltration) โดยเฉพาะข้อมูลความลับที่เกี่ยวข้องกับ CI/CD เช่น คีย์ลับ (Secrets), Token สำหรับการเข้าถึง หรือข้อมูลรับรองความถูกต้องต่างๆ ที่ถูกเก็บไว้ในระบบ หากข้อมูลเหล่านี้รั่วไหล ผู้โจมตีสามารถใช้มันเพื่อเจาะเข้าไปยังทรัพยากรอื่นๆ ขององค์กรต่อไปได้

คำศัพท์เทคนิคที่น่าสนใจ

• CI/CD (Continuous Integration/Continuous Deployment) – กระบวนการทำงานอัตโนมัติที่ใช้ในการสร้าง ทดสอบ และปรับใช้ซอฟต์แวร์อย่างต่อเนื่อง
• GitHub Actions Workflows – ระบบ自动化ที่ทำงานบน GitHub เพื่อดำเนินการตามขั้นตอนต่างๆ ที่กำหนดไว้ในโปรเจกต์ เช่น การทดสอบโค้ดอัตโนมัติ
• Base64 Encoding – วิธีการเข้ารหัสข้อมูลไบนารีให้อยู่ในรูปแบบข้อความ ASCII มักถูกใช้ในทางที่ผิดเพื่อซ่อนโค้ดมัลแวร์จากการตรวจจับ
• Data Exfiltration – การถ่ายโอนหรือลักลอบนำข้อมูลสำคัญออกจากเครือข่ายขององค์กรอย่างไม่ได้รับอนุญาต

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/megalodon-github-attack-targets-5561.html