Pesquisadores de cibersegurança revelaram detalhes de uma nova campanha automatizada chamada Megalodon, que publicou 5.718 commits maliciosos em 5.561 repositórios do GitHub em uma janela de seis horas.
“Usando contas descartáveis e identidades de autor forjadas (build-bot, auto-ci, ci-bot, pipeline-bot), o atacante injetou fluxos de trabalho do GitHub Actions contendo payloads em bash codificados em Base64, que exfiltram segredos de CI, credenciais de nuvem, chaves SSH, tokens OIDC e segredos de código-fonte para um servidor C2 em 216.126.225[.]129:8443”, afirmou a SafeDep em relatório.
A lista completa de dados coletados pelo malware inclui:
- variáveis de ambiente de CI, /proc/*/environ e o ambiente do PID 1
- credenciais do Amazon Web Services (AWS)
- tokens de acesso do Google Cloud
- credenciais de função de instância obtidas por meio de consultas aos endpoints AWS IMDSv2, metadata do Google Cloud e Microsoft Azure Instance Metadata Service (IMDS)
- chaves privadas SSH
- configurações de Docker e Kubernetes
- tokens do Vault
- credenciais do Terraform
- histórico do shell
- chaves API, cadeias de conexão de banco de dados, JWTs, chaves privadas PEM e tokens de nuvem que correspondem a mais de 30 padrões de expressões regulares de segredos
- URL e token de solicitação do OIDC do GitHub Actions
- GITHUB_TOKEN, tokens do GitLab CI/CD e tokens do Bitbucket
- arquivos .env, credentials.json, service-account.json e outros arquivos de configuração
Um dos pacotes afetados é o @tiledesk/tiledesk-server, que inclui um payload em bash codificado em Base64 dentro de um arquivo de fluxo de trabalho do GitHub Actions.
Ao todo, 5.718 commits foram enviados contra 5.561 repositórios distintos em 18/05/2026, entre 11h36 e 17h48, no horário UTC.
“O atacante alternou entre quatro nomes de autor (build-bot, auto-ci, ci-bot, pipeline-bot) e sete mensagens de commit, todas simulando manutenção rotineira de CI”, disse a SafeDep.
“O atacante usou contas descartáveis do GitHub com nomes aleatórios de 8 caracteres, como rkb8el9r, bhlru9nr e lo6wt4t6, configurou o git para forjar a identidade do autor e fez os envios por meio de PATs comprometidos ou chaves de deploy.”
Foram observadas duas variantes de payload como parte da campanha em larga escala.
A SysDiag é uma variante massiva que adiciona um novo fluxo de trabalho acionado a cada push e pull request.
Já a Optimize-Build é uma variante direcionada, que só é ativada em workflow_dispatch, um gatilho do GitHub Actions que permite executar manualmente um fluxo de trabalho sob demanda.
No caso do Tiledesk, a abordagem direcionada foi usada para atingir executores de CI/CD, e não no momento em que o pacote npm é instalado.
“A compensação é o alcance: on: push garantiria a execução em cada commit para master, atingindo mais alvos sem intervenção”, acrescentou a SafeDep.
“O workflow_dispatch sacrifica isso em nome da segurança operacional.
Com mais de 5.700 repositórios comprometidos, mesmo uma pequena fração fornecendo um GITHUB_TOKEN utilizável já dá ao atacante alvos suficientes para acionamento sob demanda.”
Na prática, quando o proprietário de um repositório mescla o commit, o malware é executado dentro dos pipelines de CI/CD e se espalha ainda mais, permitindo o roubo de credenciais e segredos em larga escala.
“Entramos em uma nova era de ataques à supply chain, e o comprometimento do GitHub pelo TeamPCP foi apenas o começo”, disse Moshe Siman Tov Bustan, da OX Security.
“O que vem a seguir é uma onda interminável, um tsunami de ataques cibernéticos contra desenvolvedores no mundo todo.”
O avanço ocorre enquanto o TeamPCP tem transformado a supply chain de software interligada em arma para corromper centenas de ferramentas open source, infiltrando-se em vários ecossistemas e, em alguns casos, extorquindo vítimas em busca de lucro.
O GitHub, da Microsoft, tornou-se a mais recente adição à longa lista de vítimas do grupo, que também inclui TanStack, Grafana Labs, OpenAI e Mistral AI.
Os ataques do TeamPCP alimentaram uma exploração cíclica de projetos open source populares, em que um comprometimento abastece o seguinte, permitindo que o malware se espalhe rapidamente em um comportamento semelhante ao de um worm.
O grupo também aparenta ter motivação financeira e estabeleceu parcerias com o BreachForums e outras quadrilhas de extorsão, como LAPSUS$ e VECT.
Além disso, o grupo parece ter motivação geopolítica, como indica a implantação de malware wiper ao detectar máquinas localizadas no Irã e em Israel.
Os efeitos da onda de ataques do TeamPCP e do worm Mini Shai-Hulud levaram o npm a invalidar tokens de acesso granulares com permissão de gravação que contornam a autenticação de dois fatores (2FA).
O npm também está recomendando que os usuários migrem para o Trusted Publishing para reduzir a dependência desses tokens.
“Ao queimar todos os tokens que burlam a 2FA na plataforma, o npm corta as credenciais que o worm já coletou”, disse a empresa de segurança de aplicações Socket.
“Os mantenedores emitem novos tokens.
O worm, ainda ativo na natureza, volta a coletá-los.
A redefinição compra tempo.
Ela não corrige a falha estrutural.”
Campanhas como Megalodon e TeamPCP envolvem o comprometimento de pacotes legítimos para distribuir malware.
Em contraste, uma conta descartável chamada “polymarketdev” foi flagrada publicando nove pacotes npm maliciosos que imitavam ferramentas CLI de negociação da Polymarket, em uma janela de 30 segundos, para roubar chaves privadas de Ethereum/Polygon das vítimas por meio de um hook de postinstall.
Até o momento da publicação, eles ainda estavam disponíveis para download no npm.
Os nomes dos pacotes são:
- polymarket-trading-cli
- polymarket-terminal
- polymarket-trade
- polymarket-auto-trade
- polymarket-copy-trading
- polymarket-bot
- polymarket-claude-code
- polymarket-ai-agent
- polymarket-trader
“Na instalação, um script de postinstall exibe um falso prompt de onboarding de carteira, pedindo ao usuário que cole sua chave privada e afirmando que ‘ela permanece criptografada’”, disse a SafeDep.
“O script envia a chave bruta em texto simples para um Cloudflare Worker em hxxps://polymarketbot.polymarketdev.workers[.]dev/v1/wallets/keys.”
“O atacante construiu uma CLI funcional de trading em torno de uma operação de roubo de credenciais.
A engenharia social sustenta o ataque: o prompt de postinstall parece um onboarding padrão de carteira, a máscara imita entrada segura e o repositório no GitHub fornece falsa credibilidade.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...