Attaque Megalodon : plus de 5000 dépôts GitHub infectés par des workflows malveillants

L'attaque « Megalodon » infecte plus de 5 000 dépôts GitHub via des workflows malveillants

Une vaste campagne automatisée a compromis plus de cinq mille dépôts GitHub en injectant des charges utiles bash dans les workflows GitHub Actions, visant le vol de secrets et d'identifiants cloud. Les chercheurs recommandent une vérification immédiate des journaux d'audit OIDC.

Publié le 27 mai 2026 à 14h15 · 2 min de lecture

Plus de cinq mille dépôts GitHub ont été ciblés par une opération automatisée de grande ampleur, baptisée « Megalodon » par les experts en sécurité. Détectée par des chercheurs de SafeDep, cette campagne s'est déroulée sur une période de six heures et a exploité des tokens d'accès et des clés compromis pour injecter des workflows malveillants au sein de l'infrastructure d'intégration continue (CI) de GitHub.

Un commit frauduleux unique ciblant les workflows Actions

L'attaque a pris la forme d'un commit malveillant identifié par le hachage « acac5a9 », modifiant les fichiers de workflow GitHub Actions. Les chercheurs ont observé que ces commits intégraient des charges utiles bash encodées en base64. Ces dernières sont conçues pour dérober les secrets exposés lors de l'exécution des pipelines CI : identifiants cloud, clés SSH, tokens OpenID Connect (OIDC), secrets de code source, et diverses variables d'environnement. Selon les experts de SafeDep, l'exécution inattendue de l'événement « workflow_dispatch » dans l'onglet Actions pourrait constituer un signe avant-coureur de compromission.

Des dépôts populaires massivement touchés

Parmi les projets les plus affectés figurent le dépôt ioLibrary_Driver de Wiznet, ainsi que quatre dépôts de la plateforme Tiledesk et quatre autres de persian-tools. À eux seuls, ces quelques projets concentrent bien plus de deux mille commits malveillants. Les attaquants ont tenté de masquer leur activité en utilisant des dates de commit historiques, une technique déjà observée lors de précédentes campagnes de compromission massive, notamment celle de TeamPCP, comme le souligne une analyse publiée ultérieurement par OX Security.

Recommandations pour les développeurs et les équipes SecOps

Les chercheurs recommandent aux équipes utilisant la fédération OpenID Connect (OIDC) pour leurs déploiements cloud d'examiner attentivement les journaux d'audit cloud afin de rechercher d'éventuelles demandes de jetons provenant d'exécutions de workflows inconnues. Ils conseillent également aux développeurs de surveiller tout déclenchement suspect de workflows et de vérifier l'intégrité de leurs fichiers de configuration CI. Cette attaque illustre la menace croissante que représentent les compromissions de chaîne d'approvisionnement logicielle via des services d'intégration continue largement utilisés. GitHub n'a pas encore communiqué officiellement sur les mesures correctives prises à ce stade.

L'attaque « Megalodon » infecte plus de 5 000 dépôts GitHub via des workflows malveillants

À lire ensuite

La fusée New Glenn de Blue Origin détruite lors d'un essai : un revers majeur pour Amazon et la Nasa

Dell triple presque ses prévisions de ventes de serveurs IA, à 60 milliards de dollars

Acer officialise sa console portable Predator Atlas 8, première à embarquer la nouvelle puce Intel Arc G3

Peter Thiel installe sa famille en Argentine, séduit par les réformes libertaires de Milei