حمله زنجیره تأمین (Supply Chain Attack) به عنوان یکی از پیچیدهترین تهدیدات در اکوسیستم توسعه نرمافزار، امنیت داراییهای دیجیتال سازمانها را به شدت به چالش کشیده است. شرکت امنیتی SafeDep در گزارش اخیر خود از یک حمله زنجیره تأمین گسترده و خودکار علیه پلتفرم GitHub پرده برداشته است که در آن، مهاجمان با استفاده از workflowهای آلوده و سرقت اعتبارنامههای ابری، بیش از 5,561 ریپازیتوری را هدف قرار دادند.
شناسایی کمپین مخرب Megalodon و ابعاد حمله زنجیره تأمین
کمپین حمله زنجیره تأمین Megalodon در تاریخ 18 می 2026 شناسایی شد. مهاجمان در یک بازه زمانی کوتاه 6 ساعته، 5,718 بهروزرسانی کد جعلی را به ریپازیتوری هدف تزریق کردند. ابزار تحلیل دیجیتال شرکت SafeDep با نام Malysis، موفق شد اسکریپتهای مخربی را شناسایی کند که به شکلی ماهرانه در فایلهای به ظاهر سالم پنهان شده بودند.
مهاجمان برای دور ماندن از دید تیمهای امنیتی، از اکانتهای جعلی GitHub با نامهای 8 کاراکتری استفاده کرده و با تغییر تنظیمات سیستم، خود را به عنوان سرویسهای خودکار رسمی (مانند build-bot یا ci-bot) معرفی کردند.
تحلیل فنی تکنیکهای نفوذ
طبق تحلیلهای فنی SafeDep، مهاجمان از دو تکنیک خودکار برای پیشبرد حمله زنجیره تأمین استفاده کردهاند:
- تکنیک SysDiag: در این روش، یک فایل جدید با نام .github/workflows/ci.yml به ریپازیتوری اضافه میشود. این فایل به گونهای طراحی شده که با هر بار بهروزرسانی پروژه توسط توسعهدهنده، یک اسکریپت مخرب برای سرقت دادهها اجرا شود.
- تکنیک Optimize-Build: این متد بسیار پیچیدهتر است؛ مهاجمان فایلهای سیستمی موجود را جایگزین کرده و از دستور workflow_dispatch برای غیرفعال نگه داشتن پیلود استفاده میکنند. این امر مانع از بروز هشدارهای خطا در فرآیند بیلد میشود. مهاجمان هر زمان که اراده کنند، میتوانند از طریق GitHub API این بکدور را فعال کرده و اکسپلویت خود را اجرا کنند.
قربانیان و ریسکهای امنیتی حمله زنجیره تأمین Megalodon
یکی از قربانیان اصلی این حمله زنجیره تأمین، سرویس چتبات Tiledesk بود. مهاجمان 9 بخش از کدهای این پروژه را هدف قرار دادند که منجر به انتشار 7 نسخه آلوده از پکیج @tiledesk/tiledesk-server (نسخههای 2.18.6 تا 2.18.12) توسط توسعهدهندگان در ریجستری npm شد.
سرقت اعتبارنامههای ابری
زمانی که اسکریپت مخرب اجرا میشود، یک برنامه 111 خطی در پسزمینه، فایلهای داخلی را کپی کرده و به سرور فرماندهی و کنترل (C2) با آدرس 216.126.225.129:8443 ارسال میکند. این بدافزار اعتبارنامههای سیستمهای ابری بزرگ مانند AWS، Google Cloud و Microsoft Azure را هدف قرار داده و به دنبال 30 نوع رمز عبور، لینک پایگاهداده و کلیدهای محرمانه میگردد. بزرگترین ریسک این حمله زنجیره تأمین، سرقت توکنهای اعتبارسنجی است که به مهاجمان اجازه میدهد خود را به GitHub Actions تزریق کرده و محیطهای ابری را متقاعد کنند که با یک کاربر قانونی در حال تعامل هستند.
راهکارهای مقابله و ایمنسازی زیرساختهای توسعه
SafeDep به تمام توسعهدهندگانی که در تاریخ 18 می ایمیلهایی با آدرسهایی مانند build-system@noreply.dev یا ci-bot@automated.dev دریافت کرده و در ادامه، تغییرات مشکوکی در کدهای خود مشاهده کردهاند، توصیه میکند فوراً این تغییرات را به حالت قبل بازگردانند و تمام رمزهای عبور و کلیدهای دسترسی مرتبط با سرویسهای ابری خود را تغییر دهند.
علاوه بر این، مانیتورینگ دقیق pipelineهای CI/CD و بررسی منظم لاگهای امنیتی حیاتیترین گام برای شناسایی زودهنگام فعالیتهای غیرمجاز در این دسته از حملات است.
