25.05.2026 13:10
Пост канала «Этичный Хакер» от 25.05.2026
😈 Атака Megalodon затронула более 5500 репозиториев на GitHub
Исследователи предупредили о масштабной кампании Megalodon, в рамках которой злоумышленники внедряли вредоносные коммиты в GitHub-репозитории
❗️ Всего за 6 часов атакующие успели отправить 5718 коммитов в 5561 репозиторий
Злоумышленники маскировали вредоносные коммиты под обычные CI-изменения — для этого использовались поддельные имена вроде build-bot, ci-bot, auto-ci и pipeline-bot, а сами коммиты сопровождались безобидными сообщениями в духе «ci: add build optimization step»
— Если владелец репозитория принимал такой коммит, в GitHub Actions запускался вредоносный workflow с bash-скриптом, закодированным Base64
После этого малварь начинала собирать секреты из CI/CD-окружения и передавала их на свой управляющий сервер
‼️ В итоге атакующие похищали практически все популярные типы секретов: AWS-ключи, токены Google Cloud, учетные данные Azure, SSH-ключи, конфигурации Docker и Kubernetes, Vault-токены, учетные данные Terraform, переменные окружения, .env-файлы, OIDC-токены GitHub Actions, токены GitHub, GitLab и Bitbucket
Кроме того, малварь сканировала исходный код в поисках API-ключей, JWT, приватных PEM-ключей и других конфиденциальных данных
🧑💻 Этичный хакер
Исследователи предупредили о масштабной кампании Megalodon, в рамках которой злоумышленники внедряли вредоносные коммиты в GitHub-репозитории
❗️ Всего за 6 часов атакующие успели отправить 5718 коммитов в 5561 репозиторий
Злоумышленники маскировали вредоносные коммиты под обычные CI-изменения — для этого использовались поддельные имена вроде build-bot, ci-bot, auto-ci и pipeline-bot, а сами коммиты сопровождались безобидными сообщениями в духе «ci: add build optimization step»
— Если владелец репозитория принимал такой коммит, в GitHub Actions запускался вредоносный workflow с bash-скриптом, закодированным Base64
После этого малварь начинала собирать секреты из CI/CD-окружения и передавала их на свой управляющий сервер
‼️ В итоге атакующие похищали практически все популярные типы секретов: AWS-ключи, токены Google Cloud, учетные данные Azure, SSH-ключи, конфигурации Docker и Kubernetes, Vault-токены, учетные данные Terraform, переменные окружения, .env-файлы, OIDC-токены GitHub Actions, токены GitHub, GitLab и Bitbucket
Кроме того, малварь сканировала исходный код в поисках API-ключей, JWT, приватных PEM-ключей и других конфиденциальных данных
🧑💻 Этичный хакер