sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Agência dos EUA usa IA Mythos para encontrar falhas no governo, diz agência
7 de julho de 2026
Quando Assassin’s Creed Black Flag Resynced será lançado? Veja o horário
7 de julho de 2026
7.7 traz ofertas e cupons na Amazon, Shopee, Mercado Livre, KaBuM! e mais
7 de julho de 2026
MG cancela apresentação do MG07 após público acusar plágio do Porsche Taycan
7 de julho de 2026
terça-feira, julho 7, 2026
Top Posts
Agência dos EUA usa IA Mythos para encontrar...
Quando Assassin’s Creed Black Flag Resynced será lançado?...
7.7 traz ofertas e cupons na Amazon, Shopee,...
MG cancela apresentação do MG07 após público acusar...
Alunos da Rede Estadual entram de férias a...
Freio falha sem avisar: o perigo por trás...
Frente fria aumenta chance de chuva no interior...
Homem é atropelado na Rodovia Alkindar Monteiro Junqueira...
Carro capota e deixa cinco pessoas feridas; três...
ONU pede regulamentação da IA antes que ela...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Agência dos EUA usa IA Mythos para encontrar falhas no governo, diz agência
7 de julho de 2026
Quando Assassin’s Creed Black Flag Resynced será lançado? Veja o horário
7 de julho de 2026
7.7 traz ofertas e cupons na Amazon, Shopee, Mercado Livre, KaBuM! e mais
7 de julho de 2026
MG cancela apresentação do MG07 após público acusar plágio do Porsche Taycan
7 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Agência dos EUA usa IA Mythos para encontrar falhas no governo, diz agência
7 de julho de 2026
Quando Assassin’s Creed Black Flag Resynced será lançado? Veja o horário
7 de julho de 2026
7.7 traz ofertas e cupons na Amazon, Shopee, Mercado Livre, KaBuM! e mais
7 de julho de 2026
MG cancela apresentação do MG07 após público acusar plágio do Porsche Taycan
7 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

GitHub tem mais de 5 mil repositórios invadidos em novo ataque hacker

por SampaNews 22 de maio de 2026
22 de maio de 2026
24

Uma campanha automatizada chamada Megalodon comprometeu 5.561 repositórios no GitHub em apenas seis horas, no dia 18 de maio de 2026. A descoberta é da empresa de segurança SafeDep, que recuperou o conteúdo malicioso completo e mapeou a infraestrutura dos atacantes.

Os criminosos usaram contas descartáveis com nomes aleatórios de oito caracteres e forjaram identidades de bots de Integração Contínua (CI), usados para testar o código sempre que o programador faz uma alteração. Os bots forjados incluíam o build-bot e ci-bot, que disfarçavam os commits maliciosos como manutenção de rotina.

smart_display

Nossos vídeos em destaque

No total, 5.718 commits foram enviados entre 11h36 e 17h48 UTC da ocasião, todos apontando para um servidor de comando e controle no endereço “216.126.225.129:8443”.

Busca pelo início do payload em base64 retorna 3,5 mil arquivos YAML com configuração idêntica no GitHub, incluindo repositórios do Tiledesk e do CyberWizard Institute, confirmando a escala da campanha. Imagem: Ox Security.

Ataque substitui arquivos de configuração por backdoor dormente

A técnica central da campanha explora o GitHub Actions, sistema nativo do GitHub para automação de tarefas como testes e publicações de software. Cada repositório comprometido recebeu um commit, uma espécie de “ponto de salvamento”, que substituía ou adicionava um arquivo YAML de workflow.

Nesse arquivo, havia uma única linha de código que baixava e executava um arquivo de texto contendo comandos. Eles seriam executados em terminais Linux ou macOS para automatizar tarefas de 111 linhas – tudo escondido em codificação de base64.

O script opera em cinco fases, assim que o fluxo de trabalho de CI é acionado. Primeiro, ele captura todas as variáveis de ambiente do servidor, incluindo o GITHUB_TOKEN e quaisquer segredos configurados no repositório.

megalodon malware github (1).png
A campanha começa quando o atacante envia pull request falso com arquivo ci.yaml, que ao ser aprovado executa o workflow malicioso e exfiltra credenciais de nuvem, tokens de CI e chaves de acesso para servidor remoto. Imagem: Ox Security.

Em seguida, lê 27 arquivos de credenciais no sistema de arquivos, incluindo chaves SSH, que funcionam como uma senha. Além disso, também examinaa configurações do serviço de nuvem da AWS, tokens do Docker Hub e histórico do shell – que lista, recupera e reutiliza os comandos digitados anteriormente no terminal.

Depois, consulta os dispositivos internos de metadados da AWS, Google Cloud e Azure para extrair credenciais temporárias do ambiente de nuvem. Por fim, varre o código-fonte em busca de mais de 30 padrões de segredos.

A etapa mais crítica é o roubo de tokens OpenID Connect (OIDC). Este é um mecanismo moderno em que o fluxo de trabalho prova sua identidade para serviços de nuvem sem usar credenciais fixas. Com esses tokens, o atacante consegue se passar pelo pipeline legítimo perante AWS, Google Cloud ou Azure.

megalodon malware github (2).png
Script itera sobre todos os perfis AWS configurados no runner e extrai access key, secret key, session token e região de cada um antes de enviar os dados ao servidor dos atacantes. Imagem: Ox Security.

Variante cria backdoor invisível no histórico de CI

A campanha usou duas variantes do conteúdo malicioso. A primeira, chamada SysDiag, adiciona um workflow que dispara automaticamente em todos os recursos colaborativos do GitHub, conhecido como push e pull request, maximizando a execução. A segunda, Optimize-Build, substitui um fluxo existente e usa o gatilho workflow_dispatch, que só roda quando alguém aciona manualmente via interface ou API do GitHub.

O workflow_dispatch não aparece no histórico automático de execuções do Actions e não gera falhas de construção do código. O malware que permite acesso remoto dos criminosos, o backdoor, fica dormente até o atacante acioná-lo remotamente. Isso pode ser feito ao enviar uma requisição à API do GitHub com um token roubado de qualquer outro repositório comprometido.

Pacote legítimo carregou o backdoor sem que mantenedor percebesse

O caso mais documentado de contaminação envolve o @tiledesk/tiledesk-server, pacote de código aberto de uma plataforma brasileira de chat ao vivo publicado no npm desde 2019.

O repositório oficial no GitHub foi comprometido pela variante Optimize-Build no dia 18 de maio. O desenvolvedor legítimo continuou publicando versões normalmente nos dias seguintes, sem perceber que o arquivo de workflow dentro do repositório estava envenenado.

megalodon malware github (3).png
Trecho do script bash revela o identificador da campanha, a plataforma-alvo e a expressão regular em base64 usada para varredura de segredos nos repositórios comprometidos. Imagem: Ox Security.

O resultado foi que as versões 2.18.6 a 2.18.12 do pacote chegaram ao npm com o backdoor embutido. A SafeDep identificou a contaminação ao comparar a versão 2.18.12 com a versão limpa 2.18.5 e encontrar uma diferença em um único arquivo.

Campanha é atribuída ao grupo TeamPCP

O Megalodon faz parte de uma sequência de ataques atribuídos ao grupo TeamPCP, que já comprometeu projetos como TanStack, Grafana Labs, OpenAI e Mistral AI usando a cadeia de suprimentos de software como vetor. O grupo tem motivação financeira confirmada e parcerias com fóruns de extorsão como BreachForums e grupos como LAPSUS$.

Em resposta à atividade do TeamPCP, o npm invalidou tokens de acesso granular, uma medida de segurança que tenta controlar acessos, com permissão de escrita que contornavam a autenticação de dois fatores. A medida, porém, não resolve o problema estrutural, uma vez que os tokens já coletados pelo malware Mini Shai-Hulud, associado ao grupo, continuam válidos até serem restaurados pelos mantenedores.

megalodon malware github (4).png
Expressão regular decodificada do payload do Megalodon lista os tipos de credenciais rastreados pelo malware, incluindo chaves da AWS, tokens do GitHub e GitLab, strings de conexão de bancos de dados e chaves PEM privadas. Imagem: Ox Security.

Repositórios que receberam commits de build-system@noreply.dev ou ci-bot@automated.dev no dia 18 de maio devem reverter as alterações, auditar os arquivos de workflow e restaurar todas as credenciais acessíveis pelos runners do GitHub Actions.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Homens baleados em tentativa de assalto em bar do Taquaral recebem alta
próxima postagem
‘Pablo Escobar brasileiro’ é julgado na Bélgica em processo marcado por impasses

Você também pode gostar

Agência dos EUA usa IA Mythos para encontrar...

7 de julho de 2026

Quando Assassin’s Creed Black Flag Resynced será lançado?...

7 de julho de 2026

7.7 traz ofertas e cupons na Amazon, Shopee,...

7 de julho de 2026

ONU pede regulamentação da IA antes que ela...

7 de julho de 2026

POSTS MAIS RECENTES

  • Agência dos EUA usa IA Mythos para encontrar falhas no governo, diz agência
  • Quando Assassin’s Creed Black Flag Resynced será lançado? Veja o horário
  • 7.7 traz ofertas e cupons na Amazon, Shopee, Mercado Livre, KaBuM! e mais
  • MG cancela apresentação do MG07 após público acusar plágio do Porsche Taycan
  • Alunos da Rede Estadual entram de férias a partir desta terça-feira

Siga-nos

  • Recente
  • Popular
  • Agência dos EUA usa IA Mythos para encontrar falhas no governo, diz agência

    7 de julho de 2026
  • Quando Assassin’s Creed Black Flag Resynced será lançado? Veja o horário

    7 de julho de 2026
  • 7.7 traz ofertas e cupons na Amazon, Shopee, Mercado Livre, KaBuM! e mais

    7 de julho de 2026
  • MG cancela apresentação do MG07 após público acusar plágio do Porsche Taycan

    7 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Freio falha sem avisar: o perigo por trás...

7 de julho de 2026

Frente fria aumenta chance de chuva no interior...

7 de julho de 2026

Homem é atropelado na Rodovia Alkindar Monteiro Junqueira...

7 de julho de 2026

Carro capota e deixa cinco pessoas feridas; três...

7 de julho de 2026

ONU pede regulamentação da IA antes que ela...

7 de julho de 2026

Leitura obrigatória

  • Agência dos EUA usa IA Mythos para encontrar falhas no governo, diz agência

    7 de julho de 2026
  • Quando Assassin’s Creed Black Flag Resynced será lançado? Veja o horário

    7 de julho de 2026
  • 7.7 traz ofertas e cupons na Amazon, Shopee, Mercado Livre, KaBuM! e mais

    7 de julho de 2026
  • MG cancela apresentação do MG07 após público acusar plágio do Porsche Taycan

    7 de julho de 2026
  • Alunos da Rede Estadual entram de férias a partir desta terça-feira

    7 de julho de 2026

Newsletter

Posts relacionados

  • Agência dos EUA usa IA Mythos para encontrar falhas no governo, diz agência

    7 de julho de 2026
  • Quando Assassin’s Creed Black Flag Resynced será lançado? Veja o horário

    7 de julho de 2026
  • 7.7 traz ofertas e cupons na Amazon, Shopee, Mercado Livre, KaBuM! e mais

    7 de julho de 2026
  • ONU pede regulamentação da IA antes que ela ‘assuma o controle’

    7 de julho de 2026
  • EUA suspendem restrições do Pentágono contra a Alibaba

    7 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
9 melhores filmes e séries para assistir na Netflix em julho
1 de julho de 2026
WhatsApp libera reserva de nome de usuário; veja como esconder o número
1 de julho de 2026

Postagens Aleatórias

Chevrolet Sonic 2027 sem camuflagem mostra como quer se afirmar como SUV
12 de abril de 2026
Youtuber faz Windows 98 rodar numa torradeira; veja vídeo
12 de fevereiro de 2026
Na contramão dos elétricos, nova geração do Lamborghini Urus terá motor V8
2 de junho de 2026

Categorias Populares

  • Tecnologia (5.956)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.057)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.112)
  • Bragança Paulista (1.079)
  • Esporte (787)
  • Saúde (487)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home