Um ataque cibernético identificado como Megalodon infectou 5.561 repositórios open-source no GitHub em 18 de maio de 2026, segundo pesquisadores da SafeDep. A ação usou workflows maliciosos para exfiltrar dados e credenciais.
A campanha automatizada enviou 5.718 commits maliciosos em um intervalo de seis horas, utilizando contas descartáveis e identidades forjadas para injetar códigos maliciosos nos workflows do GitHub Actions.
O malware capturou segredos de integração contínua, credenciais de nuvem, chaves SSH, tokens OIDC e segredos de código-fonte, enviando-os a um servidor externo. Pesquisadores recomendam que usuários revertam alterações e auditem seus arquivos de workflow.
Embora o GitHub tenha publicado um comunicado sobre acesso não autorizado a repositórios em 20 de maio, não comentou sobre o ataque Megalodon. Em abril, a empresa alertou para ataques semelhantes que exploram workflows do GitHub Actions.
