Um novo relatório em Semana de Segurança alerta sobre um ataque cibernético que infectou 5.561 repositórios de código aberto do GitHub com malware.
Cibersegurança pesquisadores da SafeDep detalharam como o ataque à cadeia de suprimentos de 18 de maio, apelidado de Megalodon, aproveitou os fluxos de trabalho do GitHub Actions para coletar credenciais de usuários e outros dados. Uma lista completa dos repositórios GitHub comprometidos está disponível no Relatório de segurança SafeDep.
O relatório também detalha como os hackers realizaram o ataque:
Em 18 de maio de 2026, uma campanha automatizada com codinome megalodonte enviou 5.718 commits maliciosos para 5.561 repositórios GitHub em um período de seis horas. Usando contas descartáveis e identidades de autores forjadas (bot de construção, auto-ci, ci-bot, pipeline-bot), o invasor injetou fluxos de trabalho do GitHub Actions contendo cargas bash codificadas em base64 que exfiltram segredos de CI, credenciais de nuvem, chaves SSH, tokens OIDC e segredos de código-fonte para um servidor C2 em 216.126.225.129:8443.
Uma postagem no blog StepSecurity também documentou os detalhes do ataque.
Velocidade da luz mashável
“Megalodon é um livro didático Execução direta de pipeline envenenado (d-PPE) ataque, uma classe de ataque CI/CD em que um adversário com acesso de gravação a um repositório injeta código malicioso diretamente em arquivos de definição de fluxo de trabalho, fazendo com que o sistema CI execute comandos controlados pelo invasor na próxima execução do pipeline”, o leitura de postagem no blog. (Ênfase no original.)
Os pesquisadores do SafeDep alertaram os usuários do GitHub afetados pelo ataque para reverter seus repositórios e auditar todos os arquivos de fluxo de trabalho.
Em 20 de maio, GitHub publicou uma postagem no blog sobre o acesso não autorizado a repositórios de propriedade do GitHub por meio de um dispositivo de funcionário comprometido, mas a empresa não disse nada sobre o suposto ataque ao Megalodon.
Porém, no dia 1º de abril, a empresa publicou uma postagem no blog detalhando uma nova tendência de ataques cibernéticos na cadeia de suprimentos de código aberto, que muitas vezes começam comprometendo os fluxos de trabalho do GitHub Actions, como no ataque Megalodon. A postagem do blog inclui dicas para projetos de código aberto sobre como “proteger seus fluxos de trabalho do GitHub Actions” para evitar exatamente esses tipos de ataques no futuro.
Tópicos
Segurança cibernética de aplicativos e software
