En massiv automatiserad attack mot GitHub har avslöjats av säkerhetsforskare. Kampanjen, som döpts till Megalodon, lyckades på bara sex timmar lägga in skadlig kod i över 5 500 kodlagringsplatser den 18 maj 2026.

Angriparna använde engångskonton med slumpmässiga användarnamn och förfalskade identiteter som "build-bot" och "auto-ci" för att smälta in bland vanlig CI/CD-trafik. Commit-meddelandena var utformade för att se ut som rutinmässigt underhåll.

Så fungerade attacken

Megalodon planterade GitHub Actions-arbetsflöden med dolda bash-kommandon kodade i base64. När koden kördes i ett projekts CI/CD-pipeline skickades känslig information vidare till en extern server. Bland det stulna materialet finns:

• AWS-, Google Cloud- och Azure-inloggningsuppgifter
• SSH-nycklar och Docker/Kubernetes-konfigurationer
• API-nycklar, databaskopplingar och tokens
• GitHub Actions OIDC-tokens och GITHUB_TOKEN
• .env-filer och service account-konfigurationer

Säkerhetsföretaget SafeDep, som upptäckte attacken, identifierade två varianter. Den ena aktiveras vid varje push och pull request, medan den andra bara körs manuellt via workflow_dispatch, vilket ger angriparen bättre kontroll över vilka mål som träffas.

Varför det här är allvarligt för företag

Attacken visar hur sårbar den moderna mjukvarukedjan är. Om en utvecklare eller ett företag använder ett drabbat paket och kör dess CI/CD-pipeline kan angriparen få tillgång till molnresurser, interna system och kunddata.

"Vi har gått in i en ny era av supply chain-attacker", säger Moshe Siman Tov Bustan på OX Security. "Det som kommer härnäst är en våg av cyberattacker riktade mot utvecklare världen över."

Så skyddar du ditt företag

• Granska alla GitHub Actions-arbetsflöden regelbundet, särskilt nya eller ändrade workflows
• Använd pinnade versioner (SHA-hash) för alla tredjepartsåtgärder i CI/CD
• Begränsa behörigheterna för GITHUB_TOKEN till minsta möjliga
• Rotera alla hemligheter och tokens om ni misstänker att ett beroende kan vara komprometterat
• Övervaka CI/CD-loggar för oväntade nätverksanrop

Megalodon-attacken är den senaste i en rad av allt mer sofistikerade angrepp mot öppen källkod och utvecklarinfrastruktur. Företag som förlitar sig på GitHub och liknande plattformar bör se över sina säkerhetsrutiner för mjukvarukedjan omgående.