Megalodon: Backdooring em Massa de Repositórios GitHub via CI Workflows

Uma campanha automatizada inseriu 5.718 commits maliciosos em 5.561 repositórios GitHub em seis horas. A ação injetou workflows de GitHub Actions com payloads bash codificados em base64 que exfiltram segredos de CI, credenciais de cloud, chaves SSH e tokens OIDC para um C2 em [216.126.225.129]:8443. A variante visada substitui workflows existentes por triggers workflow_dispatch e permissões id-token: write, criando backdoors dormentes que não produzem execuções de CI visíveis e podem ser ativadas sob demanda, uma vez que o atacante obtenha um GITHUB_TOKEN, com o comprometimento se estendendo ao npm via publicações envenenadas de @tiledesk/tiledesk-server versões 2.18.6 a 2.18.12. Para defensores, é crucial reverter quaisquer commits de 18 de maio de build-system@noreply.dev ou ci-bot@automated.dev, auditar arquivos de workflow, rotacionar todos os segredos expostos a Actions runners e revisar logs de auditoria da cloud para requisições de tokens OIDC de execuções de workflow desconhecidas.