# 軟件供應鏈攻擊全面爆發:TrapDoor、Megalodon、GitHub 被入侵事件深度分析
2026 年 5 月,資訊安全界迎來一波前所未有嘅軟件供應鏈攻擊浪潮。由 npm 到 PyPI、再由 Crates.io 到 Packagist,攻擊者以極高嘅速度同規模滲透各大開發者生態系統。本文將為你整理近期最重大嘅幾單事件,分析攻擊手法、影響範圍,以及企業應該點樣應對。
👉 延伸閱讀:Palo Alto PAN-OS 漏洞遭大規模利用 企業修復攻略一文睇晒
## GitHub 內部倉庫被入侵:Nx Console VS Code Extension 成為突破口
5 月 20 日,GitHub 官方證實其內部 repository 遭到未經授權存取。攻擊者透過一個被篡改嘅 Nx Console VS Code extension(版本 18.95.0)感染咗 GitHub 員工嘅開發裝置,最終盜取超過 3,800 個內部 repo。
呢個 extension 本身有超過 220 萬安裝次數,攻擊者入侵咗 Nx 開發者嘅帳戶之後,發布咗含有 credential stealer 嘅惡意版本。一經安裝,惡意代碼就會竊取 SSH keys、API tokens、cloud credentials 等敏感資訊。
GitHub 其後確認,同一波攻擊仲波及咗 Grafana Labs 嘅 GitHub environment,包括公開同私有源代碼都被外洩。呢單事件清楚展示咗 GitHub 作為全球最大代碼託管平台嘅安全風險:一個受信任嘅第三方 extension 被攻破,就可以波及多間頂尖科技公司。
## TrapDoor:橫跨三大語言生態系統嘅供應鏈攻擊
代號「TrapDoor」嘅攻擊行動係近年最複雜嘅跨生態系統供應鏈攻擊。最早喺 2026 年 5 月 22 日被發現,覆蓋 npm、PyPI 同 Crates.io 三個平台,總共發布咗超過 34 個惡意 packages,橫跨 384 個版本。
呢啲 packages 偽裝成常用工具庫,一經安裝就會下載 credential-stealing malware,專門竊取開發者環境中嘅 SSH keys、雲端憑證、API tokens。Socket 安全團隊指出,呢次攻擊顯示攻擊者已經將目標由「直接攻擊 production」轉向「先攻破開發者工作站,再橫向移動去 production」。
## GitHub Actions 供應鏈攻擊:Tag Redirection 技術
另一宗值得關注嘅 GitHub 相關事件係 actions-cool/issues-helper 遭到攻擊。攻擊者將 repository 入面所有 existing tag 都重新指向一個含有惡意代碼嘅 commit,呢個 commit 唔存在於正常 commit history 入面。
當使用者嘅 CI/CD pipeline 引用呢個 action 嘅任何版本 tag,就會喺 pipeline 執行期間外洩 CI/CD credentials 去攻擊者控制嘅伺服器。呢種「tag redirection」攻擊手法極之難檢測,因為表面上 repository 一切正常,只有仔細對比 commit hash 先會發現異常。
## 規模驚人嘅 Megalodon GitHub 攻擊
代號「Megalodon」嘅自動化攻擊喺短短 6 個鐘之內向 5,561 個 GitHub repository 推送咗 5,718 個惡意 commit。攻擊者使用 throwaway accounts 同偽造身份(build-bot、auto-ci、ci-bot),注入含有 base64 編碼 bash payload 嘅 GitHub Actions workflow。
呢啲 payload 專門竊取 CI/CD 環境中嘅 secrets 同 tokens。影響範圍極廣,顯示攻擊者已經開發出高度自動化嘅工具鏈,可以喺極短時間內大規模掃描同攻擊 GitHub 上嘅公開 repo。
## 防禦建議:企業應該點做?
面對呢波供應鏈攻擊浪潮,安全專家建議以下措施:
1. **審查所有第三方依賴** — 用 `npm audit`、`pip-audit`、`cargo audit` 等工具檢查現有 dependency
2. **鎖定依賴版本** — 使用 lockfile(package-lock.json、Cargo.lock)避免自動拉取惡意更新
3. **審查 CI/CD pipeline** — 檢查所有 GitHub Actions,確認引用嘅 tag/commit 是否合法
4. **啟用雙因素認證** — GitHub 已經推出 staged publishing,要求 maintainer 通過 2FA 先可以發布 package
5. **監控開發者工作站** — 認識到 developer workstation 已經係 supply chain 嘅一部份
6. **定期審計 GitHub 組織權限** — 確保只有必要人員有 write access
🔗 參考資料:NVD NIST 漏洞資料庫
GitHub 今次事件係一個警示:即使係全球最大嘅代碼平台本身,都無法完全免疫供應鏈攻擊。安全唔再係「加個 firewall 就得」嘅年代,每一層都要防禦。
#GitHub #供應鏈攻擊 #npm #PyPI #資訊安全 #CVE #DevSecOps
