Pada 18 Mei 2026, kampanye otomatis bernama Megalodon mendorong 5.718 commit berbahaya ke 5.561 repositori GitHub hanya dalam sekitar enam jam dengan menyisipkan workflow GitHub Actions yang telah diracuni. Penyerang menggunakan akun sekali pakai, identitas bot CI palsu, metadata commit yang dipalsukan, dan reposito...

Create a landscape editorial hero image for this Studio Global article: What happened in the “Megalodon” GitHub supply chain attack on May 18, 2026, how were attackers able to inject 5,700+ malicious commits into. Article summary: “Megalodon” was a fast, automated GitHub supply-chain campaign on May 18, 2026 that pushed 5,718 malicious commits into 5,561 public repositories in roughly six hours by slipping poisoned GitHub Actions workflows into re. Topic tags: general, general web, documentation, user generated. Reference image context from search candidates: Reference image 1: visual subject "On May 18, 2026, an automated campaign codenamed `megalodon` pushed 5,718 malicious commits to 5,561 GitHub repositories in a six-hour window. Using throwaway accounts and forged a" source context "Megalodon: Mass GitHub Repo Backdooring via CI Workflows" Reference image 2: visual subject "A sophis
Pada 18 Mei 2026, peneliti keamanan menemukan serangan supply‑chain perangkat lunak berskala besar yang diberi nama “Megalodon.” Dalam waktu sekitar enam jam, penyerang mendorong 5.718 commit berbahaya ke 5.561 repositori GitHub, menjadikannya salah satu kampanye peracunan repositori otomatis terbesar yang pernah tercatat di platform tersebut.
Alih‑alih mengubah kode aplikasi secara langsung, para penyerang menyisipkan file workflow GitHub Actions berbahaya. Workflow ini akan dijalankan di dalam pipeline CI/CD dan mencoba mencuri rahasia serta kredensial ketika otomatisasi repositori berjalan.
Kampanye ini berlangsung kira‑kira antara 11:36 hingga 17:48 UTC, menunjukkan penggunaan sistem otomatis yang dirancang untuk menyerang ribuan repositori dengan sangat cepat sebelum pemelihara proyek menyadari perubahan tersebut.
Serangan Megalodon menggabungkan otomatisasi dengan teknik penyamaran agar perubahan terlihat seperti aktivitas CI normal.
Penyerang membuat akun GitHub sementara dengan nama acak dan menyamar sebagai sistem otomatis, misalnya:
Identitas ini membuat commit terlihat seperti pekerjaan otomatis rutin, bukan aktivitas manusia yang mencurigakan.
Data penulis commit serta pesan commit dibuat menyerupai pembaruan CI biasa—misalnya perubahan konfigurasi pipeline atau update workflow. Teknik ini membantu commit berbahaya menyatu dengan aktivitas pengembangan normal dan menunda kecurigaan.
Kampanye ini terutama menyasar repositori yang tidak memiliki aturan branch protection yang kuat. Tanpa persyaratan review pull request atau pembatasan perubahan workflow, penyerang dapat langsung mendorong perubahan ke branch utama.
Setiap commit berbahaya menambahkan workflow GitHub Actions yang berisi payload Bash yang dikodekan dalam Base64. Ketika pipeline CI berjalan, skrip tersebut dieksekusi di runner GitHub Actions dan mulai mengumpulkan kredensial dari lingkungan CI.
Akibatnya, serangan sering baru aktif ketika pipeline berikutnya dijalankan oleh proyek tersebut.
Payload Bash yang disisipkan dalam workflow dirancang untuk mengumpulkan data sensitif dari lingkungan CI dan mengirimkannya ke infrastruktur yang dikendalikan penyerang.
Target yang dilaporkan meliputi:
Malware tersebut mengumpulkan variabel lingkungan, informasi sistem, dan kredensial yang dapat diakses oleh runner sebelum mengirimkannya ke server command‑and‑control milik penyerang.
Karena pipeline CI sering memiliki akses ke kredensial deployment, kompromi pada lingkungan build dapat membuka jalan ke infrastruktur cloud, registri paket, atau sistem produksi.
Salah satu target utama payload Megalodon adalah token OIDC GitHub Actions.
Banyak pipeline CI/CD modern menggunakan federasi identitas OpenID Connect (OIDC) untuk mengautentikasi ke penyedia cloud tanpa menyimpan kredensial jangka panjang. Workflow akan meminta token identitas sementara yang kemudian ditukar dengan kredensial akses sementara di cloud.
Pendekatan ini meningkatkan keamanan karena tidak perlu menyimpan API key statis. Namun, ada risiko baru: jika penyerang berhasil mencuri token saat pipeline berjalan, mereka dapat menyamar sebagai identitas job CI tersebut.
Karena token ini dipercaya oleh sistem identitas cloud, token yang dicuri berpotensi ditukar dengan akses sementara ke layanan cloud dengan izin yang sama seperti pipeline deployment.
Dampak yang mungkin terjadi antara lain:
Walaupun token OIDC biasanya cepat kedaluwarsa, akses sementara yang diberikan sering kali cukup bernilai bagi penyerang.
Pada periode yang hampir bersamaan, GitHub juga mengungkap insiden keamanan terpisah yang melibatkan ekstensi Visual Studio Code berbahaya yang terpasang pada perangkat seorang karyawan.
Ekstensi tersebut memungkinkan penyerang mengakses sekitar 3.800 repositori internal GitHub sebelum kompromi berhasil dihentikan.
Insiden itu dilacak ke lingkungan pengembang yang terinfeksi melalui ekstensi yang telah dimodifikasi secara jahat dan didistribusikan melalui marketplace VS Code.
Beberapa laporan keamanan mencatat kemiripan waktu dan taktik antara insiden tersebut dan serangan supply‑chain lain yang menargetkan alat pengembangan. Namun, belum ada bukti publik yang memastikan bahwa kebocoran internal GitHub secara langsung memungkinkan serangan Megalodon.
Untuk saat ini, kedua peristiwa tersebut lebih tepat dipahami sebagai dua insiden keamanan supply‑chain yang terjadi hampir bersamaan dalam ekosistem pengembang.
Serangan Megalodon menunjukkan bagaimana otomatisasi dapat memperbesar dampak serangan supply‑chain dalam waktu singkat. Dengan memanfaatkan bot palsu, commit otomatis, dan workflow CI berbahaya, penyerang menjadikan infrastruktur build sebagai alat pencuri kredensial.
Insiden ini menegaskan beberapa praktik keamanan penting bagi tim pengembang:
Seiring pipeline pengembangan semakin mengendalikan deployment cloud dan infrastruktur produksi, keamanan workflow CI/CD kini menjadi bagian penting dari pertahanan supply‑chain perangkat lunak.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Pada 18 Mei 2026, kampanye otomatis bernama Megalodon mendorong 5.718 commit berbahaya ke 5.561 repositori GitHub hanya dalam sekitar enam jam dengan menyisipkan workflow GitHub Actions yang telah diracuni.
Pada 18 Mei 2026, kampanye otomatis bernama Megalodon mendorong 5.718 commit berbahaya ke 5.561 repositori GitHub hanya dalam sekitar enam jam dengan menyisipkan workflow GitHub Actions yang telah diracuni. Penyerang menggunakan akun sekali pakai, identitas bot CI palsu, metadata commit yang dipalsukan, dan repositori dengan perlindungan branch lemah agar dapat menyuntikkan file workflow langsung ke branch utama.
Payload Bash yang dikodekan Base64 mencoba mencuri rahasia CI/CD seperti kredensial cloud, SSH key, API token, dan token OIDC—yang dapat digunakan untuk mendapatkan akses sementara ke infrastruktur cloud.