В минувший понедельник, 18 мая, вредоносное приложение Megalodon атаковало платформу разработки GitHub и внесла вредоносные коммиты в более чем 5500 репозиториев.

На GitHub напал Megalodon — вредоносный код заразил более чем 5500 репозиториев

Обзор Intel Core Ultra 7 270K Plus — лучший Arrow Lake за полцены

На GitHub напал Megalodon — вредоносный код заразил более чем 5500 репозиториев

Больше кадров — больше лага: тестирование латентности с генерацией кадров DLSS и FSR

На GitHub напал Megalodon — вредоносный код заразил более чем 5500 репозиториев

Обзор Apple MacBook Neo: удивительно хороший ноутбук с процессором от iPhone

На GitHub напал Megalodon — вредоносный код заразил более чем 5500 репозиториев

Можно ли экономить на DDR5 для Ryzen? Сравниваем дешёвую память с дорогой

На GitHub напал Megalodon — вредоносный код заразил более чем 5500 репозиториев

Компьютер месяца — май 2026 года

На GitHub напал Megalodon — вредоносный код заразил более чем 5500 репозиториев

От Ryzen 7 1800X до Ryzen 7 9850X3D: девять лет эволюции AMD в одном тесте

На GitHub напал Megalodon — вредоносный код заразил более чем 5500 репозиториев

Важнейшая функция вредоноса — кража учётных данных CI/CD. Если владелец репозитория включает коммит в проект, вредонос выполняется на серверах CI/CD и распространяется дальше, рассказали эксперты в области кибербезопасности. Megalodon осуществляет кражу других учётных данных: секретных ключей AWS, токенов Google Cloud; запрашивает метаданные инстансов AWS, Google Cloud Platform и Azure, считывает закрытые ключи SSH, конфигурации Docker и Kubernetes, конфигурации Docker и Kubernetes, токены Vault, учётные данные Terraform, а также производит сканирование исходного кода на наличие прочих закрытых данных, используя более 30 регулярных выражений.

Он извлекает токены GitHub, в том числе данные для аутентификации у облачных провайдеров и токены Bitbucket, в результате чего злоумышленники могут выдавать себя за разработчиков и получать доступ к облачным службам. Регулярные взломы GitHub ставят под угрозу безопасность каждой компании, у которой на платформе размещаются даже закрытые репозитории. Вредоносы по-прежнему попадают на серверы, и остановить их до сих пор не удаётся.

Megalodon обнаружили внутри открытой платформы Tiledesk онлайн-чатов и чат-ботов. Вредоносу не понадобилось взламывать npm-аккаунт проекта — достаточно было заразить проект на GitHub. Администратор проекта в последний раз опубликовал «чистую» версию 2.18.5, а затем, сам того не подозревая, одобрил содержащие бэкдоры версии 2.18.6 (от 19 мая) по 2.18.12 (от 21 мая). Схожие схемы атаки практикует хакерская группировка TeamPCP, но подтвердить её причастность к кампании Megalodon не удалось. Известно, что TeamPCP объявила конкурс атак на цепочки поставок, но и одним из конкурсантов создатель Megalodon тоже, вероятно, не является — по правилам, участники должны добавлять во вредоносный код открытый ключ шифрования, который подтвердил бы его авторство.

Исследователям удалось отследить активность Megalodon до двух адресов электронной почты, с которых были отправлены коммиты в общей сложности в 5561 репозиторий. Все они появились 18 мая в течение чуть более шести часов.