Investigadores de seguridad detectaron una campaña denominada “Megalodon” que comprometió miles de repositorios públicos de GitHub mediante la inserción automatizada de backdoors en workflows CI/CD. La operación afectó proyectos vinculados a criptomonedas, DevOps y desarrollo de software.
Investigadores de SafeDep y Ox Security identificaron una campaña masiva denominada “Megalodon” que comprometió miles de repositorios públicos de GitHub mediante la modificación automatizada de workflows de integración y entrega continua (CI/CD). Según los reportes publicados, la operación afectó al menos 5.561 repositorios y utilizó commits maliciosos para insertar backdoors orientados a ejecutar código durante procesos automatizados.
La investigación de SafeDep indicó que los atacantes alteraron archivos GitHub Actions para descargar y ejecutar cargas maliciosas desde infraestructura controlada por los operadores de la campaña. El análisis identificó repositorios vinculados a criptomonedas, blockchain, automatización, inteligencia artificial y herramientas de desarrollo.
Los especialistas de SafeDep describieron la operación como una campaña automatizada de backdooring masivo de repositorios GitHub. La compañía agregó que los atacantes utilizaron cuentas comprometidas y automatización para modificar workflows CI/CD en grandes volúmenes.
Por su parte, Ox Security señaló que el malware fue diseñado para ejecutarse dentro de pipelines automatizados y aprovechar permisos disponibles durante procesos CI/CD. Según la investigación, las modificaciones permitían descargar scripts adicionales y ejecutar comandos remotos en entornos asociados a los repositorios afectados.
La investigación también identificó que parte de los workflows alterados incluían instrucciones para recuperar payloads desde dominios externos controlados por los operadores de la campaña. Los reportes indican que la actividad buscaba comprometer entornos de desarrollo y cadenas de suministro de software mediante automatización a gran escala.
Los análisis publicados muestran que los atacantes utilizaron commits aparentemente legítimos para introducir modificaciones maliciosas en archivos YAML asociados a GitHub Actions. Las alteraciones agregaban pasos adicionales orientados a descargar herramientas externas y ejecutar instrucciones no autorizadas durante la compilación o despliegue de proyectos.
Según los reportes, la campaña afectó principalmente repositorios públicos y proyectos open source. SafeDep publicó una lista extensa de repositorios comprometidos y recomendó revisar workflows CI/CD, historial de commits y configuraciones de automatización para detectar modificaciones sospechosas.
Los investigadores indicaron además que la operación representa un ejemplo de ataques dirigidos contra cadenas de suministro de software mediante plataformas colaborativas y automatización DevOps.
Para los especialistas de Ox Security, tras este análisis se abre una nueva era en los ataques a la cadena de suministra y auguran “un tsunami de ciberataques contra desarrolladores de todo el mundo”. Su principal argumento es que el hackeo a GitHub “Comprometió la seguridad de todas las empresas con un repositorio privado alojado en la plataforma. Ahora, los ciberdelincuentes continúan con esta tendencia, explotando simples vulnerabilidades de seguridad y errores humanos para propagar código malicioso a gran escala”.
Por su parte los expertos de SafeDep resumieron el incidente de esta manera: “Más de 5700 confirmaciones en seis horas, 5561 repositorios, una sola carga útil: reemplazar un flujo de trabajo de GitHub Actions con una puerta trasera de exfiltración de secretos latente”.