Uma campanha cibernética em larga escala apelidada de Megalodon comprometeu mais de 5.500 repositórios no GitHub em um intervalo inferior a seis horas, acendendo um novo alerta global sobre segurança da cadeia de suprimentos de software e ambientes de desenvolvimento automatizados.
Segundo análises divulgadas pela empresa de segurança SafeDep, os invasores conseguiram comprometer 5.561 repositórios entre 11h36 e 17h48 UTC do dia 18 de maio, utilizando ao menos 5.718 commits maliciosos voltados ao roubo de credenciais de ambientes CI/CD, tokens de acesso, segredos de desenvolvimento e chaves de infraestrutura em nuvem.
Para reduzir suspeitas, os atacantes utilizaram contas descartáveis no GitHub com nomes aleatórios e passaram a se apresentar como supostos bots legítimos de automação, utilizando identidades semelhantes a “build-bot”, “ci-bot” e “pipeline-bot”. As mensagens dos commits também imitavam atualizações rotineiras de manutenção de pipelines, dificultando a identificação imediata por desenvolvedores e equipes de segurança.
O núcleo técnico da operação envolveu a injeção de arquivos maliciosos do GitHub Actions, sistema utilizado para automação de testes, integração contínua e deploy de aplicações. Os workflows carregavam payloads Bash ocultos por codificação Base64, técnica comum de ofuscação utilizada para mascarar código malicioso contra mecanismos automáticos de detecção.
Após a execução do workflow comprometido, os scripts iniciavam um processo de exfiltração de dados para um servidor remoto de comando e controle. Entre os dados capturados estavam variáveis de ambiente, credenciais da AWS, Google Cloud e Azure, chaves SSH, tokens do GitHub, GitLab e Bitbucket, configurações Docker e Kubernetes, segredos do Terraform, arquivos .env, certificados privados, credenciais de banco de dados e diversos tokens de autenticação corporativa.
Pesquisadores identificaram duas variantes operacionais na campanha. A primeira, chamada SysDiag, operava em massa, disparando automaticamente em eventos de push e pull request. Já a segunda, denominada Optimize-Build, utilizava execução manual via workflow_dispatch, estratégia que reduz a frequência de ativação, mas aumenta o grau de furtividade operacional.
Especialistas apontam que o caso reforça a necessidade de endurecimento das políticas de segurança em pipelines DevSecOps, revisão rigorosa de workflows do GitHub Actions, adoção de permissões mínimas e monitoramento contínuo de ambientes CI/CD.
A dimensão do Megalodon é considerada um marco para os ataques modernos à cadeia de suprimentos de software, mostrando como automação, engenharia social técnica e exploração de pipelines podem atingir milhares de alvos em poucas horas.
