นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยรายละเอียดของแคมเปญโจมตีอัตโนมัติครั้งใหม่ภายใต้ชื่อ ‘Megalodon’ ที่ก่อความเสียหายรุนแรงบนแพลตฟอร์ม GitHub โดยผู้โจมตีสามารถส่งคอมมิต (Commits) ที่มีมัลแวร์จำนวน 5,718 ครั้งไปยังรีโพซิทอรีต่างๆ จำนวน 5,561 แห่งภายในเวลาเพียง 6 ชั่วโมงเท่านั้น ซึ่งแสดงให้เห็นถึงความรวดเร็วและขนาดของการโจมตีที่ไม่เคยปรากฏมาก่อน

กลไกหลักของการโจมตีครั้งนี้คือการใช้บัญชีผู้ใช้แบบใช้แล้วทิ้ง (Throwaway accounts) พร้อมปลอมตัวตนเป็นผู้เขียนระบบอัตโนมัติ เช่น build-bot, auto-ci, ci-bot และ pipeline-bot เพื่อหลบเลี่ยงการตรวจจับ จากนั้นพวกเขาจะแทรกไฟล์ GitHub Actions Workflows ที่ถูกปนเปื้อนด้วย Payload แบบ Bash ที่ถูกซ่อนไว้ด้วยการเข้ารหัส Base64 เพื่อทำการขโมยข้อมูลลับ (Exfiltrate) จากระบบ CI/CD ของเหยื่อ

เหตุการณ์นี้เน้นย้ำถึงช่องโหว่ด้านความปลอดภัยในกระบวนการทำงานอัตโนมัติของระบบ CI/CD หากนักพัฒนาไม่มีการตั้งค่าสิทธิ์การเข้าถึง (Permission) อย่างเข้มงวด มัลแวร์เหล่านี้อาจถูกเรียกใช้งานโดยอัตโนมัติเมื่อมีการ Push โค้ด ทำให้ข้อมูลสำคัญ เช่น คีย์ API หรือ Token ล้วงไปอยู่ในมือผู้ไม่ประสงค์ดีได้

คำศัพท์เทคนิคที่น่าสนใจ

• CI/CD (Continuous Integration/Continuous Deployment) – กระบวนการทำงานอัตโนมัติในการรวมและ deploy โค้ดซึ่งเป็นเป้าหมายหลักของการโจมตีครั้งนี้
• GitHub Actions Workflows – คุณสมบัติบน GitHub ที่ใช้สร้างระบบทำงานอัตโนมัติ (Automation) ซึ่งถูกผู้โจมตีนำมาแทรกโค้ดมัลแวร์
• Base64 Encoding – การเข้ารหัสข้อมูลเพื่อซ่อนรูปแบบที่แท้จริงของ Payload มัลแวร์ ทำให้ผู้ตรวจสอบมองไม่เห็นคำสั่งที่เป็นอันตราย
• Data Exfiltration – การขโมยหรือส่งข้อมูลสำคัญออกจากระบบของเหยื่อไปยังเซิร์ฟเวอร์ของผู้โจมตีอย่างลับๆ

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/megalodon-github-attack-targets-5561.html