BBLabs NewsBBLabs News
NoticiasTodas las noticiasTemas
EN
BBLabs NewsBBLabs News

BBLabs News

Una historia al día. Cero ruido.

Newsletter técnica de ciberseguridad. Una historia al día sobre CVEs críticos, brechas, bug bounty e IA. Filtrado por IA, escrito para humanos.

Producto

  • Hemeroteca
  • Ediciones
  • Temas
  • Glosario
  • RSS
  • Atom
  • JSON Feed

Editorial

  • Acerca de
  • Suscribirse
  • Cuenta
  • English

Legal

  • Privacidad
  • Términos
  • Contacto: team@bblabs.es

Conectar

  • YouTube · @0xGorka
  • Instagram · @bblabs.es
  • Discord BBLabs
  • Discord Bug Bounty ES
31 artículos·10 ediciones·Desde 2026·Hecho en España
© 2026 BBLabs News·Por Gorka El Bochi
BBLabs NewsBBLabs News
NoticiasTodas las noticiasTemas
EN
Megalodon: 5.500 repos de GitHub con Actions maliciosos
Volver al inicioCiberataques

Megalodon: 5.500 repos de GitHub con Actions maliciosos

Más de 5.500 repositorios de GitHub infectados con workflows de Actions maliciosos que exfiltran secretos y credenciales de CI/CD.

  1. Inicio
  2. ›
  3. Ciberataques
  4. ›
  5. Megalodon: 5.500 repos de GitHub con Actions maliciosos
por Gorka El Bochi Morillo
·
2 min lectura
·28 de mayo, 2026

Qué pasa

Más de 5.500 repositorios de GitHub han sido comprometidos en una campaña llamada Megalodon, un supply chain attack (cuando el atacante infecta las herramientas del desarrollador para llegar al objetivo, no lo ataca directamente) documentado por investigadores de seguridad.

El vector: *commits automatizados falsos*. Los atacantes inyectaron commits que aparentaban ser actualizaciones rutinarias de bots — el tipo de ruido que nadie revisa — pero que modificaban o añadían archivos bajo `.github/workflows/`. Esos workflows, al ejecutarse en el pipeline de CI/CD, enviaban a infraestructura controlada por los atacantes: credenciales, tokens de acceso, claves SSH, secretos de repositorio y variables de entorno sensibles.

El nombre Megalodon es una etiqueta de investigadores, no un CVE. No se ha asignado identificador de vulnerabilidad porque esto no explota un bug de producto — abusa de funcionalidad legítima de la plataforma.

Por qué importa

Los pipelines de CI/CD son el punto más privilegiado de toda la cadena de desarrollo. Un workflow de GitHub Actions puede leer `GITHUB_TOKEN`, secretos de repositorio y organización, variables de entorno de producción, y ejecutar comandos con permisos elevados — silenciosamente, en cada push o ejecución programada.

5.500 repositorios es una escala inusual. No es un ataque dirigido; es una campaña de volumen. Eso implica que los atacantes acumularon ya un pool enorme de secretos exfiltrados, incluyendo de organizaciones con código en producción.

El patrón "commit automatizado legítimo" es especialmente peligroso porque encaja con el ruido habitual de Dependabot, Renovate o bots de CI. Un equipo que no revisa diffs de workflows no lo detecta.

La cadena de daño real: secretos de CI → acceso a registros de contenedor (Docker Hub, ECR, GCR) → credenciales cloud (AWS, GCP, Azure) → acceso a producción. Un solo token robado puede escalar hasta compromiso total de infraestructura.

Qué hacer

  • Audita ahora todos los archivos bajo `.github/workflows/` — cualquier cambio no reconocido en los últimos 90 días es sospechoso.
  • Rota inmediatamente todos los secretos de repositorio y organización en GitHub Settings → Secrets.
  • Activa GitHub secret scanning y push protection si no están habilitados.
  • Revisa el historial de commits de workflows con `git log --all -- .github/workflows/` y cruza autores con contribuidores legítimos.
  • Rota credenciales cloud (AWS keys, GCP service accounts, Azure service principals) expuestas como secrets en Actions.
  • Configura permisos mínimos para `GITHUB_TOKEN` en cada workflow — nunca `write` por defecto.
  • En organizaciones, activa la política de aprobación requerida para workflows de forks.

La lección técnica no es nueva pero sigue sin aplicarse: un archivo en `.github/workflows/` es código ejecutable privilegiado, no configuración. Megalodon explota exactamente esa brecha de atención a escala.

Qué hacer

  • Revisar todos los archivos de `.github/workflows/` ante cambios no reconocidos
  • Rotar secretos de repositorio y credenciales cloud expuestas en Actions
  • Habilitar secret scanning y push protection en todos los repos de GitHub

Comparte esta noticia

Ayuda a que más gente descubra BBLabs News.

Megalodon: 5.500 repos de GitHub con Actions maliciosos
VerticalDescargar imagen
LinkedInXWhatsApp

¿Te interesa Ciberataques?

Suscríbete a esta rama y recibe lo más relevante cada día — sin spam, sin ruido.

Suscribirme

Artículos relacionados

Destacado
Ciberataques4 jun 2026·2 min

Megalodon infecta 5.500 repos de GitHub en 6 horas

Megalodon comprometió más de 5.500 repositorios de GitHub en 6 horas robando credenciales y secrets de desarrolladores.

  • Auditar commits recientes en repos de GitHub para detectar cambios no autorizados
  • Rotar todos los tokens y API keys con acceso de escritura inmediatamente
  • Activar GitHub secret scanning con push protection en tu organización
Gorka El Bochi Morillo
Leer artículo
Ciberataques3 jun 2026·2 min

JINX-0164: malware macOS vía falsas ofertas de trabajo crypto

JINX-0164 usa ofertas de trabajo falsas para instalar malware custom en macOS y robar fondos de empresas crypto.

Leer artículo
Ciberataques1 jun 2026·2 min

Detenidos en Países Bajos los admins de hosting para hackers rusos

Países Bajos detiene a dos administradores de un servicio de bulletproof hosting (infraestructura que ignora órdenes legales de baja) usado por grupos alineados con Rusia.

Leer artículo

¿Quieres recibir noticias así cada día?

Ver todos los artículos
BBLabs NewsBBLabs News

BBLabs News

Una historia al día. Cero ruido.

Newsletter técnica de ciberseguridad. Una historia al día sobre CVEs críticos, brechas, bug bounty e IA. Filtrado por IA, escrito para humanos.

Producto

  • Hemeroteca
  • Ediciones
  • Temas
  • Glosario
  • RSS
  • Atom
  • JSON Feed

Editorial

  • Acerca de
  • Suscribirse
  • Cuenta
  • English

Legal

  • Privacidad
  • Términos
  • Contacto: team@bblabs.es

Conectar

  • YouTube · @0xGorka
  • Instagram · @bblabs.es
  • Discord BBLabs
  • Discord Bug Bounty ES
31 artículos·10 ediciones·Desde 2026·Hecho en España
© 2026 BBLabs News·Por Gorka El Bochi