Una campaña bautizada como Megalodon ha comprometido más de cinco mil repositorios en GitHub mediante la inyección de flujos de trabajo maliciosos de CI/CD. Los atacantes explotan vulnerabilidades en las pipelines de integración y despliegue continuo para ejecutar código no autorizado, robar credenciales o instalar puertas traseras. El alcance afecta a proyectos de código abierto y organizaciones, amplificando el riesgo de propagación a sistemas conectados.
Cómo opera esta amenaza en las pipelines de CI/CD 🦈
Los atacantes insertan acciones maliciosas en los archivos YAML de workflows de GitHub Actions. Estas acciones se ejecutan con permisos elevados, permitiendo extraer tokens, variables de entorno y claves SSH almacenadas. Una vez dentro, el código puede modificar el repositorio, desplegar malware en servidores de integración o exfiltrar datos sensibles. La naturaleza automatizada de las pipelines facilita que el ataque pase desapercibido, ya que las alertas de seguridad suelen ignorar cambios en configuraciones de CI/CD.
El lado divertido de que tu código se convierta en pecera 🐠
Si tu repositorio fue infectado, al menos ahora tienes una excusa sólida para no haber subido esa actualización crítica del proyecto. Los atacantes no solo roban credenciales, también te ahorran el trabajo de revisar tu pipeline porque ya la hicieron trizas. Lo mejor es que, mientras ellos pescan tokens, tú puedes culpar al tiburón digital en lugar de admitir que tenías contraseñas hardcodeadas. Bienvenido al acuario del código abierto.