BBLabs NewsBBLabs News
NoticiasTodas las noticiasTemas
EN
BBLabs NewsBBLabs News

BBLabs News

Una historia al día. Cero ruido.

Newsletter técnica de ciberseguridad. Una historia al día sobre CVEs críticos, brechas, bug bounty e IA. Filtrado por IA, escrito para humanos.

Producto

  • Hemeroteca
  • Ediciones
  • Temas
  • Glosario
  • RSS
  • Atom
  • JSON Feed

Editorial

  • Acerca de
  • Suscribirse
  • Cuenta
  • English

Legal

  • Privacidad
  • Términos
  • Contacto: team@bblabs.es

Conectar

  • YouTube · @0xGorka
  • Instagram · @bblabs.es
  • Discord BBLabs
  • Discord Bug Bounty ES
31 artículos·10 ediciones·Desde 2026·Hecho en España
© 2026 BBLabs News·Por Gorka El Bochi
BBLabs NewsBBLabs News
NoticiasTodas las noticiasTemas
EN
Megalodon: 5.561 repos de GitHub comprometidos en 6 horas
Volver al inicioCiberataques

Megalodon: 5.561 repos de GitHub comprometidos en 6 horas

5.718 commits maliciosos inyectados en 5.561 repos de GitHub en 6 horas para robar secretos de CI/CD.

  1. Inicio
  2. ›
  3. Ciberataques
  4. ›
  5. Megalodon: 5.561 repos de GitHub comprometidos en 6 horas
por Gorka El Bochi Morillo
·
2 min lectura
·26 de mayo, 2026

Qué pasa

La campaña Megalodon ejecutó un ataque de supply chain (ataque a la cadena de suministro — comprometer las herramientas de los desarrolladores en lugar del producto final) contra el ecosistema de GitHub a una escala sin precedentes. En 6 horas, 5.718 commits maliciosos llegaron a 5.561 repositorios distintos.

El vector: GitHub Actions (el sistema de CI/CD — Continuous Integration/Continuous Deployment, la automatización integrada en GitHub que compila, prueba y despliega código). Los atacantes inyectaron workflows maliciosos en `.github/workflows/` con payloads bash *codificados en base64* (ofuscados para evadir reglas de detección que buscan strings obvias). El objetivo: *exfiltrar* secretos del entorno de CI — `GITHUB_TOKEN`, credenciales cloud, API keys, tokens de registros de paquetes.

Para firmar los commits usaron cuentas desechables con identidades falsificadas: `build-bot`, `auto-ci`, `ci-bot`, `pipeline-bot`. Nombres diseñados para pasar desapercibidos en repositorios con automatización legítima activa.

Por qué importa

Los secretos de GitHub Actions son el objetivo más valioso de la cadena de desarrollo: `GITHUB_TOKEN` con permisos de escritura, credenciales AWS/GCP/Azure, claves SSH, tokens de npm/PyPI. Un workflow comprometido los *exfiltra en silencio* durante cada ejecución del pipeline, sin alertas visibles para el equipo.

La escala de 5.561 repos en 6 horas confirma automatización total. Probablemente un bot escaneando repositorios públicos o privados con workflows de CI existentes y enviando commits donde los permisos lo permiten — repos con branch protection desactivada o configuración laxa de colaboradores.

Este patrón no es nuevo, pero Megalodon lo industrializa. Si tus secretos de CI llegan a un atacante, el radio de daño va mucho más allá del repo: acceso a infraestructura cloud, capacidad de publicar paquetes maliciosos en tu nombre, pivote lateral a otros sistemas.

Qué hacer

  • Audita `.github/workflows/` en todos tus repos: busca archivos no reconocidos o modificaciones recientes que no iniciaste tú
  • Filtra el historial de commits por autores sospechosos: `build-bot`, `auto-ci`, `ci-bot`, `pipeline-bot`
  • Rota inmediatamente todos los secretos de CI si encuentras commits no autorizados: `GITHUB_TOKEN`, credenciales cloud, API keys, tokens de registros
  • Activa *branch protection* con revisión obligatoria de PRs para bloquear commits directos no autorizados en ramas principales
  • Añade `CODEOWNERS` apuntando a `.github/workflows/` para requerir aprobación explícita en cualquier cambio de workflow
  • Revisa el audit log de tu organización: `Settings → Security → Audit log`, filtrando por eventos `workflow` en el rango de fechas de la campaña

Este ataque confirma que los pipelines de CI/CD son el nuevo perímetro prioritario. Las credenciales cloud almacenadas como secretos de GitHub valen más que un shell en producción — y están al alcance de cualquiera que pueda hacer push a tu repo.

Qué hacer

  • Auditar `.github/workflows/` buscando archivos o modificaciones no autorizadas recientes
  • Rotar todos los secretos de CI si detectas commits de `build-bot` o identidades similares
  • Activar branch protection con revisión de PR obligatoria en ramas principales

Comparte esta noticia

Ayuda a que más gente descubra BBLabs News.

Megalodon: 5.561 repos de GitHub comprometidos en 6 horas
VerticalDescargar imagen
LinkedInXWhatsApp

¿Te interesa Ciberataques?

Suscríbete a esta rama y recibe lo más relevante cada día — sin spam, sin ruido.

Suscribirme

Artículos relacionados

Destacado
Ciberataques4 jun 2026·2 min

Megalodon infecta 5.500 repos de GitHub en 6 horas

Megalodon comprometió más de 5.500 repositorios de GitHub en 6 horas robando credenciales y secrets de desarrolladores.

  • Auditar commits recientes en repos de GitHub para detectar cambios no autorizados
  • Rotar todos los tokens y API keys con acceso de escritura inmediatamente
  • Activar GitHub secret scanning con push protection en tu organización
Gorka El Bochi Morillo
Leer artículo
Ciberataques3 jun 2026·2 min

JINX-0164: malware macOS vía falsas ofertas de trabajo crypto

JINX-0164 usa ofertas de trabajo falsas para instalar malware custom en macOS y robar fondos de empresas crypto.

Leer artículo
Ciberataques1 jun 2026·2 min

Detenidos en Países Bajos los admins de hosting para hackers rusos

Países Bajos detiene a dos administradores de un servicio de bulletproof hosting (infraestructura que ignora órdenes legales de baja) usado por grupos alineados con Rusia.

Leer artículo

¿Quieres recibir noticias así cada día?

Ver todos los artículos
BBLabs NewsBBLabs News

BBLabs News

Una historia al día. Cero ruido.

Newsletter técnica de ciberseguridad. Una historia al día sobre CVEs críticos, brechas, bug bounty e IA. Filtrado por IA, escrito para humanos.

Producto

  • Hemeroteca
  • Ediciones
  • Temas
  • Glosario
  • RSS
  • Atom
  • JSON Feed

Editorial

  • Acerca de
  • Suscribirse
  • Cuenta
  • English

Legal

  • Privacidad
  • Términos
  • Contacto: team@bblabs.es

Conectar

  • YouTube · @0xGorka
  • Instagram · @bblabs.es
  • Discord BBLabs
  • Discord Bug Bounty ES
31 artículos·10 ediciones·Desde 2026·Hecho en España
© 2026 BBLabs News·Por Gorka El Bochi