Sicurezza
Una serie di commit apparentemente innocui, firmati da un fantomatico “build-bot“, ha trasformato migliaia di repository GitHub in punti di raccolta per credenziali cloud, token CI/CD e chiavi SSH. L’operazione, ribattezzata Megalodon dai ricercatori che l’hanno individuata, ha colpito oltre 5.500 repository pubblici nell’arco di circa 6 ore; un dato che rende bene l’idea della scala raggiunta dagli attacchi alla supply chain software. La particolarità non sta solo nel numero di repository compromessi, ma nel metodo usato: niente exploit zero-day, nessuna vulnerabilità tradizionale da correggere: gli aggressori hanno sfruttato meccanismi perfettamente legittimi di GitHub Actions e dei workflow CI/CD.
Il caso arriva dopo settimane già complicate per il mondo open source: il gruppo TeamPCP ha infatti compromesso diversi progetti noti tra marzo e aprile 2026, prendendo di mira strumenti come Trivy, KICS e LiteLLM. Megalodon sembra inserirsi nella stessa linea operativa: colpire l’infrastruttura di sviluppo invece dell’applicazione finale.
Un runner GitHub Actions può accedere a credenziali AWS per gestire risorse cloud, token Kubernetes per controllare cluster e container, chiavi Terraform usate per automatizzare l’infrastruttura, registri Docker privati contenenti immagini software riservate e sistemi di deployment automatico. Compromettere questo livello significa spesso ottenere accesso diretto ai sistemi cloud e all’infrastruttura critica di un’azienda.
