In sei ore il 18 maggio 2026, la campagna automatizzata Megalodon ha iniettato 5.718 commit malevoli in 5.561 repository GitHub, esfiltrandone credenziali cloud, chiavi SSH e segreti CI/CD verso un C2 esterno. L'operazione, collegata al gruppo TeamPCP, rappresenta uno degli attacchi alla supply chain dello sviluppo software più rapidi mai documentati e ha spinto npm a invalidare migliaia di token di accesso con bypass 2FA.
L'articolo Megalodon: 5.561 repository GitHub compromessi in sei ore con workflow CI/CD malevoli proviene da (in)sicurezza digitale.
📖 Leggi l'articolo completo originale:
https://insicurezzadigitale.com/megalodon-5-561-repository-github-compromessi-in-sei-ore-con-workflow-ci-cd-malevoli/ →