Ataque Megalodon Compromete Mais de 5.500 Repositórios no GitHub
Pesquisadores da SafeDep e OX Security alertam sobre a campanha Megalodon, que injetou commits maliciosos em repositórios do GitHub. A tática, que se assemelha a ataques anteriores, visava roubar segredos de ambientes CI/CD, comprometendo projetos de código aberto e expondo dados sensíveis.
MundiX News·26 de maio de 2026·3 min de leitura·👁 2 views
Pesquisadores da SafeDep e OX Security revelaram uma extensa campanha de ciberataque, apelidada de Megalodon, que comprometeu mais de 5.500 repositórios no GitHub. Os invasores injetaram commits maliciosos em projetos, explorando vulnerabilidades na cadeia de suprimentos de software. A operação, que durou apenas seis horas, resultou em 5.718 commits maliciosos em 5.561 repositórios diferentes.
A tática empregada pelos atacantes lembra as operações recentes do grupo TeamPCP, que comprometeu milhares de projetos nos ecossistemas npm e GitHub. No entanto, a análise sugere que o Megalodon é orquestrado por um grupo diferente, que imita os métodos e o estilo de seus predecessores. Os invasores se disfarçaram, utilizando nomes falsos como build-bot, ci-bot, auto-ci e pipeline-bot, e acompanharam os commits com mensagens aparentemente inofensivas, como "ci: add build optimization step". Ao aceitar esses commits, os proprietários dos repositórios inadvertidamente ativavam um workflow malicioso no GitHub Actions.
O workflow, por sua vez, executava um script bash codificado em Base64. Esse script tinha como objetivo coletar segredos do ambiente CI/CD e enviá-los para um servidor de controle. Os tipos de segredos roubados incluíam chaves AWS, tokens do Google Cloud, credenciais do Azure, chaves SSH, configurações do Docker e Kubernetes, tokens do Vault, credenciais do Terraform, variáveis de ambiente, arquivos .env, tokens OIDC do GitHub Actions, tokens do GitHub, GitLab e Bitbucket. Além disso, o malware procurava no código-fonte por chaves de API, JWTs, chaves PEM privadas e outros dados confidenciais. Uma das vítimas confirmadas do Megalodon foi o projeto de código aberto Tiledesk, uma plataforma para chat online e chatbots. Os atacantes injetaram o malware nas versões do pacote @tiledesk/tiledesk-server de 2.18.6 a 2.18.12. A Hudson Rock descobriu que a campanha Megalodon está provavelmente ligada a ataques anteriores de infostealers, com mais de 33% das contas do GitHub usadas pelos invasores já tendo sido identificadas em logs de infostealers.
Os pesquisadores recomendam que as vítimas considerem todas as variáveis CI/CD nos projetos infectados como comprometidas. A análise detalhada da campanha Megalodon destaca a crescente sofisticação dos ataques à cadeia de suprimentos de software e a importância de medidas de segurança robustas, incluindo a verificação cuidadosa de commits, a utilização de autenticação multifator e a monitorização constante de atividades suspeitas nos repositórios.
Pesquisadores da SafeDep e OX Security revelaram uma extensa campanha de ciberataque, apelidada de Megalodon, que comprometeu mais de 5.500 repositórios no GitHub. Os invasores injetaram commits maliciosos em projetos, explorando vulnerabilidades na cadeia de suprimentos de software. A operação, que durou apenas seis horas, resultou em 5.718 commits maliciosos em 5.561 repositórios diferentes.
A tática empregada pelos atacantes lembra as operações recentes do grupo TeamPCP, que comprometeu milhares de projetos nos ecossistemas npm e GitHub. No entanto, a análise sugere que o Megalodon é orquestrado por um grupo diferente, que imita os métodos e o estilo de seus predecessores. Os invasores se disfarçaram, utilizando nomes falsos como build-bot, ci-bot, auto-ci e pipeline-bot, e acompanharam os commits com mensagens aparentemente inofensivas, como "ci: add build optimization step". Ao aceitar esses commits, os proprietários dos repositórios inadvertidamente ativavam um workflow malicioso no GitHub Actions.
O workflow, por sua vez, executava um script bash codificado em Base64. Esse script tinha como objetivo coletar segredos do ambiente CI/CD e enviá-los para um servidor de controle. Os tipos de segredos roubados incluíam chaves AWS, tokens do Google Cloud, credenciais do Azure, chaves SSH, configurações do Docker e Kubernetes, tokens do Vault, credenciais do Terraform, variáveis de ambiente, arquivos .env, tokens OIDC do GitHub Actions, tokens do GitHub, GitLab e Bitbucket. Além disso, o malware procurava no código-fonte por chaves de API, JWTs, chaves PEM privadas e outros dados confidenciais. Uma das vítimas confirmadas do Megalodon foi o projeto de código aberto Tiledesk, uma plataforma para chat online e chatbots. Os atacantes injetaram o malware nas versões do pacote @tiledesk/tiledesk-server de 2.18.6 a 2.18.12. A Hudson Rock descobriu que a campanha Megalodon está provavelmente ligada a ataques anteriores de infostealers, com mais de 33% das contas do GitHub usadas pelos invasores já tendo sido identificadas em logs de infostealers.
Os pesquisadores recomendam que as vítimas considerem todas as variáveis CI/CD nos projetos infectados como comprometidas. A análise detalhada da campanha Megalodon destaca a crescente sofisticação dos ataques à cadeia de suprimentos de software e a importância de medidas de segurança robustas, incluindo a verificação cuidadosa de commits, a utilização de autenticação multifator e a monitorização constante de atividades suspeitas nos repositórios.
