Atac de amploare pe GitHub: peste 5.500 de proiecte compromise de malware-ul Megalodon
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/05/malware-github.jpg)
Un nou val de atacuri informatice lovește comunitatea dezvoltatorilor software, iar amploarea lui începe să ridice semne serioase de întrebare despre securitatea ecosistemului open source.
O campanie malware denumită „Megalodon” a compromis în doar câteva ore peste 5.500 de repository-uri de pe GitHub, folosind commit-uri aparent legitime pentru a injecta cod malițios în proiecte software folosite la scară largă.
Specialiștii în securitate cibernetică spun că atacul seamănă cu precedentele incidente TeamPCP, care au afectat mii de proiecte prin contaminarea lanțului de distribuție software. Diferența este că Megalodon pare și mai agresiv și mai bine automatizat. Cercetătorii care au analizat operațiunea susțin că malware-ul a fost distribuit prin commit-uri mascate drept actualizări obișnuite de optimizare pentru procesele CI/CD, scrie The Register.
Problema reală apare în momentul în care administratorii proiectelor acceptă modificările compromise. Din acel punct, codul malițios rulează automat în pipeline-urile de dezvoltare și începe să colecteze date sensibile din infrastructura companiei sau a dezvoltatorului afectat.
Ce fură malware-ul Megalodon și de ce experții sunt alarmați
Analiza făcută de cercetători arată că malware-ul vizează aproape orice tip de credentiale importante găsite într-un mediu DevOps modern. Sunt căutate chei AWS, token-uri Google Cloud, date Azure, configurații Kubernetes și Docker, chei SSH private, token-uri Vault și credentiale Terraform.
În plus, codul malițios scanează proiectele după zeci de tipare care ar putea ascunde parole sau secrete de autentificare. Ulterior, informațiile sunt trimise către infrastructura controlată de atacatori.
Cu alte cuvinte, dacă un repository compromis ajunge să ruleze în infrastructura unei companii, atacatorii pot obține acces la servicii cloud, servere și sisteme interne fără ca victima să realizeze imediat ce s-a întâmplat.
Cercetătorii spun că acesta este exact tipul de atac care transformă un simplu proiect open source într-un punct vulnerabil pentru mii de organizații. În multe cazuri, dezvoltatorii au încredere în actualizările automate și nu verifică manual fiecare commit integrat în workflow.
Mai grav este că atacul nu pare să se limiteze doar la GitHub. Malware-ul încearcă să extragă inclusiv token-uri Bitbucket și alte credentiale folosite în infrastructuri hibride.
Cum au fost compromise proiectele și de ce situația ar putea deveni și mai gravă
Investigatorii au descoperit că unul dintre pachetele afectate a fost Tiledesk, o platformă open source folosită pentru live chat și chatbot-uri. Mai multe versiuni publicate între 19 și 21 mai au fost infectate fără ca administratorul contului npm să fie compromis direct.
Potrivit cercetătorilor, atacatorii au pătruns în repository-ul GitHub și au modificat sursa proiectului, iar ulterior dezvoltatorul a publicat noile versiuni fără să observe prezența codului malițios.
Acest detaliu este important deoarece arată că simpla protejare a conturilor npm sau activarea autentificării în doi pași nu mai este suficientă. Dacă repository-ul sursă este compromis, întregul lanț de distribuție software poate deveni vulnerabil.
Atacul a fost asociat cu un autor fals numit „build-bot”, folosind adrese de email create special pentru a imita sisteme automate CI/CD. Commit-urile aveau mesaje banale, precum „ci: add build optimization step”, tocmai pentru a evita suspiciunile.
În doar șase ore, au fost identificate mii de commit-uri malițioase distribuite către peste 5.500 de repository-uri. Printre proiectele afectate se numără mai multe componente Tiledesk, dar și alte proiecte open source populare.
Experții avertizează că astfel de atacuri ar putea deveni noua normalitate în industria software. Comunitatea open source depinde masiv de automatizare și integrare continuă, iar atacatorii profită exact de această încredere pentru a răspândi malware la scară globală.
Tot mai mulți specialiști cer acum platformelor precum GitHub și npm să introducă sisteme mai agresive de detectare a codului malițios înainte ca acesta să ajungă în repository-uri publice. Până atunci, dezvoltatorii sunt sfătuiți să verifice cu atenție commit-urile, să limiteze accesul token-urilor și să monitorizeze atent pipeline-urile CI/CD.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/eed2ddd48da1d2d434876de67102d1a4-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/d628c26f37cf6148cb6a261d94c9bb49-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/bcbc84b825fd043a3c7f5b749a985325-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/a79b0aa72cb2fc068e1220a42daf3e22-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/727f490961de287b9e360ac3ef0f0e1b-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/3e1e9c8604d18a7adf9a19a95f891678-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/1b564643a198b6d2b732ef651f39d772-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/5b3ff70040eee659d8755126955a1de0-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-0187974849-scaled.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/inteligenta-artificiala-1.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-0926128152-1.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-0163510428-2.jpg)