Une campagne baptisée « Megalodon » a conduit à la compromission massive de dépôts GitHub publics, en passant par des mécanismes d’automatisation utilisés dans les pipelines de développement. Repérée par plusieurs chercheurs en cybersécurité, l’opération révèle une fois de plus la dépendance croissante des entreprises aux workflows CI/CD et aux composants open source réutilisés à grande vitesse.
Une campagne baptisée « Megalodon » a compromis plus de 5 500 dépôts GitHub publics en l’espace de quelques heures, selon plusieurs chercheurs en cybersécurité. L’attaque ne repose ni sur une faille zero day spectaculaire ni sur un ransomware classique. Elle cible directement la chaîne de développement logiciel en injectant des workflows GitHub Actions malveillants capables de voler des secrets, des identifiants et des jetons d’accès utilisés dans les pipelines CI/CD.
Repérée notamment par les chercheurs de StepSecurity puis relayée par Dark Reading et plusieurs communautés spécialisées, l’opération nous montre la fragilité des mécanismes d’automatisation devenus centraux dans les environnements de développement modernes.
Des workflows GitHub Actions utilisés comme point d’entrée
Les attaquants ont modifié des fichiers GitHub Actions afin d’exécuter du code malveillant directement dans les pipelines d’intégration continue. Les scripts injectés cherchaient principalement à récupérer des secrets stockés dans les environnements CI/CD, comme des tokens GitHub, des identifiants cloud ou des clés API. Plusieurs projets touchés servaient eux-mêmes de dépendances ou de briques réutilisées par d’autres développeurs. Une compromission pouvait donc potentiellement se diffuser au-delà du dépôt initial.
Les workflows GitHub Actions représentent une cible particulièrement sensible. Ils disposent souvent d’autorisations permettant de publier du code, d’accéder à des registres logiciels ou de déployer des infrastructures. Une fois un pipeline compromis, les attaquants peuvent récupérer des accès critiques sans avoir à contourner les protections traditionnelles du poste utilisateur ou du réseau.
Les environnements de développement deviennent un terrain d’attaque prioritaire
Les attaques visant les développeurs se multiplient depuis plusieurs mois. Faux installateurs d’outils IA, paquets open source piégés, extensions malveillantes ou dépendances compromises ciblent désormais directement les outils utilisés au quotidien par les équipes techniques. L’objectif n’était pas de viser une seule organisation précise mais d’exploiter des mécanismes partagés par un très grand nombre de projets logiciels. Les pipelines CI/CD concentrent aujourd’hui des accès sensibles vers des plateformes cloud, des registres de conteneurs, des systèmes de déploiement ou des environnements SaaS internes. Une simple fuite de secrets peut suffire à ouvrir plusieurs portes simultanément.
Le volume de dépôts compromis interroge également les mécanismes de validation dans les projets open source, où la rapidité d’intégration et l’automatisation prennent souvent le pas sur la vérification des workflows et des dépendances utilisées.
