Megalodon атаковал 5 561 репозиторий GitHub через GitHub Actions

Исследователи SafeDep сообщили о кампании Megalodon: 18 мая 2026 года за шесть часов атакующие отправили 5 718 вредоносных коммитов в 5 561 репозиторий GitHub. Коммиты добавляли или меняли GitHub Actions workflow с Base64-кодированным Bash-пейлоадом для кражи секретов CI/CD, облачных учётных данных и SSH-ключей. Hudson Rock дополнительно связала часть задействованных GitHub-аккаунтов с заражениями инфостилерами.

Исследователи SafeDep описали кампанию Megalodon, в рамках которой 18 мая 2026 года в 11:36–17:48 UTC было зафиксировано 5 718 вредоносных коммитов в 5 561 репозиторий GitHub. Изменения маскировались под обычное обслуживание CI/CD и использовали авторов вроде build-bot, auto-ci, ci-bot и pipeline-bot.

Коммиты добавляли backdoor в GitHub Actions workflow: Base64-кодированный Bash-пейлоад должен был выполняться в CI/CD-runner и собирать секреты, включая AWS/GCP-учётные данные, SSH-ключи, токены GitHub Actions OIDC, Docker, Kubernetes, Vault и Terraform-конфигурации. OX Security отдельно сообщила, что обнаружила более 3 500 репозиториев с заражённым YAML-файлом.

Hudson Rock связывает происхождение части задействованных аккаунтов с инфостилерами: компания заявила, что 331 из 978 уникальных GitHub-имён совпали с записями из её базы заражённых машин. Владельцам репозиториев рекомендуют проверить изменения в .github/workflows/ за 18 мая, отозвать и перевыпустить затронутые ключи, усилить branch protection и CODEOWNERS для workflow-файлов, а также проверить исходящие подключения к C2-адресу 216.126.225[.]129:8443.