นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยรายละเอียดของแคมเปญโจมตีอัตโนมัติครั้งใหม่ภายใต้ชื่อ “Megalodon” ที่เป้าหมายไปที่แพลตฟอร์ม GitHub โดยผู้โจมตีสามารถส่งคอมมิต (commits) ที่มีมัลแวร์จำนวน 5,718 ครั้ง เข้าไปยังรีพอสิทอรี (Repositories) ถึง 5,561 แห่งภายในช่วงเวลาเพียง 6 ชั่วโมงเท่านั้น ซึ่งถือเป็นปฏิบัติการขนาดใหญ่ที่ดำเนินการด้วยความเร็วและอัตโนมัติอย่างมาก

วิธีการของกลุ่มผู้โจมตีคือการใช้บัญชีผู้ใช้แบบใช้แล้วทิ้ง (Throwaway accounts) พร้อมปลอมตัวตนเป็นบอทที่เกี่ยวข้องกับระบบ (เช่น build-bot, auto-ci, ci-bot, pipeline-bot) เพื่อให้ดูเหมือนเป็นกระบวนการทำงานอัตโนมัติปกติ จากนั้นพวกเขาจะแทรก GitHub Actions Workflows ที่ถูกปนเปื้อนด้วย Payload ในรูปแบบข้อความที่เข้ารหัส Base64 ซึ่งเมื่อระบบ CI/CD ทำงาน จะทำการถอดรหัสและรันสคริปต์ Bash ที่ถูกซ่อนไว้

เป้าหมายหลักของ Payload ดังกล่าวคือการดักจับและส่งข้อมูลออก (Exfiltrate) ค่ารหัสลับต่างๆ ที่ใช้ในระบบ CI/CD ออกไปยังเซิร์ฟเวอร์ของผู้โจมตี หากข้อมูลเหล่านี้รั่วไหล ผู้โจมตีจะสามารถใช้สิทธิ์เหล่านั้นเพื่อบุกเข้าไปจัดการโค้ด หรือแพร่ขยายการโจมตีไปยังระบบภายในขององค์กรได้อย่างกว้างขวาง จึงเป็นที่มาของคำเตือนให้นักพัฒนาตรวจสอบและจำกัดสิทธิ์การทำงานของระบบอัตโนมัติอย่างเข้มงวด

คำศัพท์เทคนิคที่น่าสนใจ

• CI/CD (Continuous Integration/Continuous Deployment) – กระบวนการทำงานอัตโนมัติในการรวม ทดสอบ และปรับใช้ซอฟต์แวร์อย่างต่อเนื่อง
• GitHub Actions Workflows – ฟีเจอร์บน GitHub ที่ใช้สำหรับกำหนดและเรียกใช้งานกระบวนการอัตโนมัติต่างๆ ในวงจรการพัฒนาซอฟต์แวร์
• Base64 Encoding – วิธีการเข้ารหัสข้อมูลไบนารีให้อยู่ในรูปแบบข้อความ (Text) ซึ่งผู้โจมตีมักใช้เพื่อปิดบังโค้ดมัลแวร์จากการตรวจจับ
• Exfiltrate – การลักลอบถ่ายโอนหรือส่งข้อมูลที่ละเอียดอ่อนออกจากระบบเครือข่ายของเหยื่อไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/megalodon-github-attack-targets-5561.html