Zum Inhalt springen

Automatisierte Angriffskampagne injiziert über 5.700 bösartige Commits in GitHub

Auf den Punkt: Eine automatisierte Angriffskampagne kompromittierte Tausende GitHub-Repositories durch bösartige Commits in Entwicklungsprozessen und zielt damit auf die Software-Fertigungskette statt auf Produktionsschwachstellen.

Am 18. Mai 2026 infiltrierten Angreifer innerhalb von sechs Stunden 5.718 bösartige Commits in 5.561 GitHub-Repositories über kompromittierte Entwicklerkonten. Die von SafeDep entdeckte Kampagne „Megalodon" zielt gezielt auf die Software-Fertigungskette ab – nicht auf einzelne Schwachstellen in Produktionssystemen.

Die automatisierte Angriffsoperation platzierte zwei Arten von Schadcode: einen offensiven Workflow, der bei jedem Code-Push ausgeführt wird, und einen verdeckten, der sich als schlafende Hintertür einbettet. Bemerkenswert ist die Verschleierungstaktik: Es gab weder sichtbare CI-Ausführungen noch fehlgeschlagene Builds oder verdächtige Einträge in der Aktionshistorie. SafeDep deckte die Kampagne auf, während eine unabhängige Analyse von OX Security den Fund bestätigte und über 3.500 betroffene Repositories mit identischer YAML-Konfiguration identifizierte.

Die extrahierte Schadlogik zielte systematisch auf hochwertige Zugänge: AWS-Schlüssel, Google Cloud und Azure Tokens, SSH-Keys, Docker- und Kubernetes-Konfigurationen, Vault Tokens, Terraform Credentials und GitHub Actions Tokens. Das Arsenal umfasste mehr als 30 weitere Secret-Muster. Für einen CISO bedeutet Megalodon eine grundlegende Verschiebung der Angriffsfläche: Nicht einzelne Schwachstellen in Produktionsumgebungen stehen im Fokus, sondern die Prozesse, die Software bauen und ausliefern – Repositories, Build-Prozesse, automatisierte Tests, Release-Pipelines und Cloud-Deployments.

Die technische Raffinesse liegt darin, dass bösartige Änderungen als normale Anpassungen an automatisierten Entwicklungsprozessen getarnt wurden. Für viele Organisationen ist das besonders gefährlich, weil solche Änderungen alltäglich wirken – wie Prozesspflege, eine Anpassung an Build-Logik oder ein kleiner Eingriff in Automatisierungen, die ohnehin ständig verändert werden. Megalodon greift nicht nur Code an, sondern das Vertrauen in Abläufe selbst.

Die zentrale Konsequenz für CISO-Verantwortung: Vertrauen ist eine Angriffsfläche. Wer Software sicher betreiben will, muss die digitale Fertigungskette genauso ernst nehmen wie die Produktionsumgebung. Sicherheitsverantwortliche müssen wissen, wo Vertrauen technisch durchgesetzt wird und wie es missbraucht werden kann. Dies lässt sich durch Threat Intelligence absichern – nicht durch reaktive Kontrollen allein, sondern durch proaktives Wissen über Angreifermethoden. Organisationen, die ihre Fertigungsprozesse kontinuierlich mit aktuellem Bedrohungswissen abgleichen, verhindern Vorfälle oder begrenzen deren Wirkung so früh, dass die Fertigungskette intakt bleibt.


Quelle: www.it-daily.net · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.

Share on: