Megalodon infecta 5.500 repos de GitHub en 6 horas

Qué pasa

El malware bautizado como Megalodon ejecutó una campaña de *supply chain attack* (ataque a la cadena de suministro de software — el atacante inyecta código malicioso en repositorios que otros desarrolladores usan y confían) a escala industrial contra GitHub. En solo 6 horas, empujó miles de commits maliciosos a más de 5.500 repositorios. El objetivo: credenciales y *developer secrets* — API keys, tokens de acceso, variables de entorno, claves SSH.

La velocidad y el volumen descartan cualquier intervención manual. El ataque usó automatización pura: probablemente cuentas de GitHub comprometidas o PATs (Personal Access Tokens — claves de acceso programático) robados para autenticarse y empujar commits sin disparar alertas inmediatas. Una vez el código malicioso aterriza en el repo, cualquier desarrollador que clone, instale o ejecute ese código expone su entorno.

Por qué importa

5.500 repositorios en 6 horas es una cifra que redefine lo que consideramos un ataque a escala. La mayoría de los equipos de seguridad no tienen visibilidad en tiempo real sobre commits nuevos en sus repos, especialmente en organizaciones grandes con cientos de repositorios activos.

El impacto real tiene tres capas:

Capa 1 — Repos directamente comprometidos: El código malicioso vive en la rama principal. Cualquier consumidor del repo se convierte en vector de propagación.

Capa 2 — Secrets exfiltrados: Los API keys y tokens robados no expiran solos. Un token de AWS con permisos de `AdministratorAccess` puede usarse para escalar privilegios, pivotar a otros sistemas o lanzar infraestructura bajo el nombre de la víctima semanas después del compromiso inicial.

Capa 3 — Dependencias transitivas: Si uno de los 5.500 repos infectados es una dependencia de tu proyecto, el riesgo te llega sin que hayas tocado nada directamente.

La superficie de ataque de la cadena de suministro de software sigue siendo uno de los vectores menos monitorizados en entornos de desarrollo reales.

Qué hacer

• Audita los commits de los últimos 7 días en todos tus repos de GitHub: busca commits de cuentas no reconocidas, cambios en `.github/workflows/`, `package.json`, o cualquier fichero de configuración sensible.
• Rota de inmediato todos los tokens activos: GitHub PATs, AWS access keys, GCP service accounts, tokens de Stripe, Twilio y cualquier API key con acceso de escritura o privilegios elevados.
• Activa GitHub secret scanning con push protection: bloquea en origen cualquier push que contenga un secret conocido. Gratis para repos públicos, disponible en planes de pago para privados.
• Revisa tus GitHub Actions: un workflow comprometido puede usar `GITHUB_TOKEN` para pivotar lateralmente dentro de tu organización.
• Habilita 2FA obligatorio para todos los colaboradores de tus organizaciones de GitHub, sin excepciones.

El patrón de este ataque — automatización masiva, ejecución en horas, foco en secrets de alto valor — es el mismo playbook que usaron en los ataques a PyPI y npm de 2023-2024. Megalodon escala ese modelo al ecosistema de repos directamente. Si no tienes alertas sobre commits externos en tus repos críticos, las necesitas hoy.