El 18 de mayo de 2026, una campaña automatizada llamada “Megalodon” introdujo 5.718 commits maliciosos en 5.561 repositorios de GitHub en unas seis horas mediante workflows de GitHub Actions diseñados para robar secre... Los atacantes disfrazaron los commits como automatizaciones legítimas de CI usando cuentas desec...

Create a landscape editorial hero image for this Studio Global article: What happened in the “Megalodon” GitHub supply chain attack on May 18, 2026, how were attackers able to inject 5,700+ malicious commits into. Article summary: “Megalodon” was a fast, automated GitHub supply-chain campaign on May 18, 2026 that pushed 5,718 malicious commits into 5,561 public repositories in roughly six hours by slipping poisoned GitHub Actions workflows into re. Topic tags: general, general web, documentation, user generated. Reference image context from search candidates: Reference image 1: visual subject "On May 18, 2026, an automated campaign codenamed `megalodon` pushed 5,718 malicious commits to 5,561 GitHub repositories in a six-hour window. Using throwaway accounts and forged a" source context "Megalodon: Mass GitHub Repo Backdooring via CI Workflows" Reference image 2: visual subject "A sophis
El 18 de mayo de 2026, investigadores de seguridad detectaron una campaña de ataque a la cadena de suministro de software denominada “Megalodon”. En aproximadamente seis horas, los atacantes lograron introducir 5.718 commits maliciosos en 5.561 repositorios de GitHub, convirtiéndolo en uno de los mayores incidentes automatizados de envenenamiento de repositorios registrados en la plataforma.
En lugar de modificar directamente el código de las aplicaciones, los atacantes insertaron archivos de workflow de GitHub Actions maliciosos. Estos archivos se ejecutaban dentro de los pipelines de CI/CD del repositorio y trataban de recolectar secretos y credenciales cuando la automatización se activaba.
Según los análisis, la campaña se desarrolló entre aproximadamente 11:36 y 17:48 UTC, lo que apunta a un sistema altamente automatizado capaz de comprometer miles de repositorios antes de que los mantenedores detectaran los cambios.
La campaña combinó automatización con técnicas de camuflaje social para que los commits maliciosos parecieran mantenimiento normal de infraestructura CI.
Los atacantes crearon cuentas temporales de GitHub con nombres aleatorios y se hicieron pasar por sistemas de automatización usando identidades como:
Esto hacía que los commits parecieran generados por herramientas automáticas en lugar de por un atacante humano.
Los datos de autoría y los mensajes de commit se diseñaron para parecer legítimos, a menudo simulando actualizaciones de CI o pequeños cambios de configuración. Esa apariencia ayudó a que los cambios pasaran desapercibidos en el historial del repositorio.
El ataque se centró en proyectos donde las reglas de protección de ramas eran débiles o inexistentes. Sin revisiones obligatorias de pull request o restricciones sobre quién puede modificar workflows, los atacantes pudieron insertar cambios directamente en la rama principal.
Cada commit añadía un workflow de GitHub Actions que contenía un payload Bash codificado en Base64. Cuando el pipeline de CI se ejecutaba, el script se activaba dentro del runner de GitHub Actions y comenzaba a recopilar credenciales del entorno.
Esto significa que el ataque a menudo permanecía inactivo hasta que el siguiente pipeline del proyecto ejecutaba el workflow.
El script codificado en Base64 estaba diseñado para recolectar información sensible del entorno de CI y enviarla a infraestructura controlada por los atacantes.
Entre los objetivos reportados estaban:
El malware recopilaba variables de entorno, información del sistema y credenciales accesibles para el runner antes de exfiltrar esos datos a un servidor de comando y control.
Dado que muchos pipelines contienen credenciales de despliegue, comprometer un entorno de build puede abrir acceso a infraestructura cloud, registros de paquetes o incluso sistemas de producción.
Uno de los objetivos principales del payload de Megalodon eran los tokens OIDC de GitHub Actions.
En muchos pipelines modernos de CI/CD se usa OpenID Connect (OIDC) para autenticarse en servicios cloud sin guardar credenciales permanentes. En este modelo, el workflow solicita un token de identidad temporal que el proveedor cloud intercambia por credenciales de acceso de corta duración.
Este enfoque mejora la seguridad porque evita almacenar claves API permanentes. Sin embargo, introduce un riesgo diferente: si un atacante roba ese token durante la ejecución del pipeline, puede suplantar temporalmente la identidad del workflow.
Como los sistemas de identidad en la nube confían en estos tokens, uno robado puede convertirse en acceso temporal a recursos cloud con los mismos permisos del pipeline de despliegue.
Eso podría permitir, por ejemplo:
Aunque los tokens OIDC expiran rápidamente, incluso un acceso breve puede ser suficiente para que un atacante robe datos o escale privilegios.
Casi al mismo tiempo, GitHub reveló otro incidente de seguridad independiente: una extensión maliciosa de Visual Studio Code instalada en el dispositivo de un empleado permitió a atacantes acceder a aproximadamente 3.800 repositorios internos de GitHub antes de que la intrusión fuera contenida.
Ese incidente se originó en un entorno de desarrollo comprometido y utilizó una extensión troyanizada distribuida a través del marketplace de VS Code para robar credenciales.
Algunos informes señalan similitudes en el momento y en las tácticas con otros ataques a herramientas de desarrollo. Sin embargo, no hay evidencia pública que confirme que esa brecha interna de GitHub haya habilitado directamente la campaña Megalodon.
Por ahora, lo más prudente es considerar ambos sucesos como dos incidentes distintos pero ocurridos en el mismo periodo dentro del ecosistema de desarrollo.
El caso Megalodon muestra cómo la automatización puede escalar un ataque de cadena de suministro a miles de repositorios en muy poco tiempo. Al combinar bots falsos, commits automatizados y workflows de CI manipulados, los atacantes transformaron la infraestructura de build en una herramienta de robo de credenciales.
El incidente refuerza varias prácticas clave para los equipos de desarrollo:
A medida que los pipelines controlan despliegues en la nube e infraestructura crítica, la seguridad de los workflows de CI/CD se ha convertido en una pieza central de la defensa de la cadena de suministro del software.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
El 18 de mayo de 2026, una campaña automatizada llamada “Megalodon” introdujo 5.718 commits maliciosos en 5.561 repositorios de GitHub en unas seis horas mediante workflows de GitHub Actions diseñados para robar secre...
El 18 de mayo de 2026, una campaña automatizada llamada “Megalodon” introdujo 5.718 commits maliciosos en 5.561 repositorios de GitHub en unas seis horas mediante workflows de GitHub Actions diseñados para robar secre... Los atacantes disfrazaron los commits como automatizaciones legítimas de CI usando cuentas desechables y bots falsos, aprovechando repositorios con reglas débiles de protección de ramas para insertar directamente work...
El incidente ocurrió cerca de otro evento de seguridad en GitHub relacionado con una extensión maliciosa de VS Code que expuso unos 3.800 repositorios internos, aunque no hay pruebas públicas de que ambos ataques esté...