Un nuevo informe Semana de la seguridad Advierte de un ciberataque que infectó con malware 5.561 repositorios de código abierto de GitHub.
Seguridad cibernética Los investigadores de SafeDep proporcionan los detalles Cómo el ataque a la cadena de suministro del 18 de mayo, conocido como Megalodon, aprovechó los flujos de trabajo de GitHub Actions para, en última instancia, recopilar credenciales de usuario y otros datos. Está disponible una lista completa de repositorios de GitHub comprometidos Informe de seguridad de SafeDep.
El informe detalla con más detalle cómo los piratas informáticos llevaron a cabo el ataque:
El 18 de mayo de 2026, un nombre en clave de campaña automatizado megalodón Se enviaron 5.718 confirmaciones maliciosas a 5.561 repositorios de GitHub en un período de seis horas. Usar cuentas desechables e identidades de autor falsas (robot de construcción, auto-c, en el robot, robot de canalización), el atacante inyectó un flujo de trabajo de acción de GitHub que contenía una carga útil bash codificada en base64 que exponía secretos de CI, certificados de nube, claves SSH, tokens OIDC y secretos de código fuente a un servidor C2. 216.126.225.129:8443.
Una publicación de blog de StepSecurity también documentó los detalles del ataque.
Velocidad de la luz triturable
“Megalodon es un libro de texto Ejecución de tubería de envenenamiento directo (D-PPE) ataque, una clase de ataques CI/CD en los que un adversario con acceso de escritura a un repositorio inyecta código malicioso directamente en archivos de definición de flujo de trabajo, lo que permite que el sistema CI ejecute comandos controlados por el atacante más adelante en el proceso”. Leer publicaciones de blog. (Énfasis en el original).
Los investigadores de SafeDep advirtieron a los usuarios de GitHub afectados por el ataque que revirtieran sus repositorios y auditaran todos los archivos de flujo de trabajo.
20 de mayo, GitHub publicó una publicación de blog sobre el acceso no autorizado a los repositorios propiedad de GitHub a través de un dispositivo de empleado comprometido, pero la compañía no ha dicho nada sobre el presunto ataque Megalodon.
Sin embargo, el 1 de abril, la empresa Dr. Se publica una entrada de blog. Detalla una nueva tendencia de ataques cibernéticos a las cadenas de suministro de código abierto, que a menudo comienzan comprometiendo los flujos de trabajo de GitHub Actions, como el ataque Megalodon. La publicación del blog incluye consejos para proyectos de código abierto sobre “cómo proteger sus flujos de trabajo de acciones de GitHub” para evitar futuros ataques como este.
sujeto
Aplicaciones y software Ciberseguridad
