Malware espalhou backdoor no GitHub via CI/CD

há 20 horas 4

Uma campanha automatizada codinome ‘Megalodon’ injetou 5.718 commits maliciosos em 5.561 repositórios do GitHub em um período de seis horas no dia 18 de maio de 2026, conforme análise da OX Security publicada em 21 de maio. O malware, descoberto inicialmente pela SafeDep, utiliza contas descartáveis e identidades forjadas (build-bot, auto-ci, ci-bot, pipeline-bot) para injetar workflows maliciosos do GitHub Actions que exfiltram segredos de CI, credenciais de nuvem, chaves SSH e tokens OIDC para um servidor C2 no endereço 216.126.225.129:8443.

Duas variantes: propagação em massa e backdoor direcionado

A campanha empregou duas variantes. A variante de massa (SysDiag) adiciona um novo workflow acionado a cada push e pull request, maximizando a execução automática. A variante direcionada (Optimize-Build) substitui workflows existentes com gatilhos workflow_dispatch, criando backdoors dormentes que o invasor pode ativar sob demanda via API do GitHub. O pacote npm @tiledesk/tiledesk-server, nas versões 2.18.6 a 2.18.12, foi comprometido por meio do repositório GitHub da Tiledesk – o mantenedor legítimo publicou as versões contaminadas sem saber.

Credenciais roubadas e impacto

O malware exfiltra todas as variáveis de ambiente de CI, tokens OIDC do GitHub Actions (permitindo impersonificação de identidade na nuvem), credenciais da AWS (via ‘aws configure list-profiles’), tokens do GCP, Azure IMDS, chaves SSH, arquivos .npmrc, .netrc, configurações do Kubernetes, tokens do Vault, além de varrer o código-fonte com expressões regulares para capturar 30 tipos de segredos (chaves de API, strings de conexão de banco de dados, JWTs, chaves privadas). Os commits utilizam datas falsificadas e e-mails como [email protected] e [email protected], com mensagens como “ci: add build optimization step” e “build: improve ci performance”.

Recomendações e próximos passos

As empresas devem bloquear conexões com o C2 (216.126.225.129), revogar e rotacionar todas as credenciais, chaves SSH e tokens de API em máquinas afetadas, e auditar repositórios GitHub em busca de workflows YAML infectados. A SafeDep alerta que essa campanha representa uma nova era de ataques à cadeia de suprimentos, onde a exploração de brechas de segurança e erros humanos permite a disseminação de código malicioso em escala massiva.

  1. Página Inicial
  2. Tecnologia
  3. Malware espalhou backdoor no GitHub via CI/CD

Relacionado

WhatsApp vaza conversas para o Facebook? Entenda a polêmica que viralizou

WhatsApp vaza conversas para o Facebook? Entenda a polêmica ...

há 14 minutos 0
Matt Ryan diz que “dublador” já não descreve o trabalho de atores em games

Matt Ryan diz que “dublador” já não descreve o trabalho de a...

há 1 hora 1
Wix planeja demissão em massa de 1 mil funcionários, diz site

Wix planeja demissão em massa de 1 mil funcionários, diz sit...

há 1 hora 1

Em alta no brasil

1. reforma tributária
2. roman safiullin
3. wolfsburg
4. james rodriguez
5. escala 6x1
6. rublev
7. tce
8. receita federal do brasil
9. jenna gray
10. convocação colombia

Popular

Epic Games anuncia Unreal Engine 6 de surpresa e revela primeiro jogo da geração

Epic Games anuncia Unreal Engine 6 de surpresa e revela prim...

há 12 horas 4
Linus Torvalds endurece tom contra uso exagerado de IA no kernel Linux

Linus Torvalds endurece tom contra uso exagerado de IA no ke...

há 3 horas 3
Melhores ferramentas para baixar lives do Facebook em 2026

Melhores ferramentas para baixar lives do Facebook em 2026

há 12 horas 3
Malware espalhou backdoor no GitHub via CI/CD

Malware espalhou backdoor no GitHub via CI/CD

há 20 horas 3
Angola Cables realiza integração à rede da Uniti nos EUA

Angola Cables realiza integração à rede da Uniti nos EUA

há 45 minutos 2
English (US) English (US) · Portuguese (BR) Portuguese (BR) ·
Sobre-nos · Contato · Termos e Condições ·

© Portal do Telecom 2026. Todos os direitos reservados