Uma nova campanha cibernética atingiu milhares de projetos hospedados no GitHub. De acordo com a empresa de segurança SafeDep, mais de 5.500 repositórios foram comprometidos em poucas horas durante um ataque automatizado ocorrido em 18 de maio de 2026.
Batizada de Megalodon, a ação utilizou contas descartáveis e identidades falsas para simular bots de integração contínua (CI), que geralmente são usados para testar códigos automaticamente. Com isso, os criminosos conseguiram inserir códigos maliciosos disfarçados de atualizações comuns.
Os invasores realizaram mais de 5.700 alterações (commits) em um intervalo de cerca de seis horas, todos conectados a um servidor remoto de controle para execução das ações maliciosas.
Backdoor escondido em automações do GitHub
A estratégia principal explorou o GitHub Actions, ferramenta nativa de automação da plataforma. Os atacantes modificaram arquivos de configuração (workflow) para incluir um script oculto, responsável por baixar e executar comandos externos sem levantar suspeitas.
Esses comandos, protegidos por codificação, eram ativados automaticamente e permitiam o acesso a informações sensíveis. Entre os dados coletados estavam variáveis de ambiente, tokens de acesso, chaves SSH e credenciais de serviços em nuvem.
O malware operava em várias etapas, incluindo a leitura de arquivos do sistema, análise de configurações de plataformas como AWS, Google Cloud e Azure, além da busca por informações confidenciais diretamente no código-fonte dos projetos afetados.
Um dos pontos mais críticos foi o roubo de tokens de autenticação OpenID Connect (OIDC), que possibilitam que os invasores se passem por sistemas legítimos e acessem recursos em nuvem sem o uso de senhas tradicionais.
Variações do ataque dificultaram a detecção
A campanha contou com duas versões principais do código malicioso. Uma delas executava automaticamente sempre que havia alterações no repositório, aumentando o alcance do ataque. Já a outra permanecia inativa até ser acionada manualmente, o que dificultava sua identificação.
Essa segunda abordagem era especialmente perigosa, pois o código malicioso não aparecia no histórico comum de execuções e não gerava erros visíveis, permanecendo escondido até ser utilizado pelos criminosos.
Caso envolvendo pacote legítimo chamou atenção
Um dos exemplos mais preocupantes envolveu um pacote de código aberto amplamente utilizado. Mesmo após a invasão, o responsável pelo projeto continuou publicando atualizações sem perceber a presença do código malicioso.
Como resultado, várias versões do pacote foram distribuídas com backdoor embutido, sendo a contaminação identificada apenas após análises comparativas entre versões seguras e comprometidas.
Grupo por trás do ataque já é conhecido
A campanha é atribuída ao grupo TeamPCP, conhecido por realizar ataques direcionados à cadeia de suprimentos de software. O grupo já esteve envolvido em incidentes com empresas e projetos relevantes do setor de tecnologia.
Para tentar conter os danos, medidas de segurança foram adotadas, como a invalidação de tokens de acesso comprometidos. Ainda assim, especialistas alertam que o problema não é totalmente resolvido, já que credenciais roubadas podem continuar sendo exploradas até serem substituídas.
Diante disso, a recomendação é que desenvolvedores revisem alterações recentes em seus repositórios, verifiquem arquivos de automação e substituam todas as credenciais potencialmente expostas.
