Nach Darstellung von SafeDep gingen die Angreifer mit zwei verschiedenen Payloads vor. Der erste fügte einen neuen Workflow hinzu, der bei jedem Push und jeder Pull-Request ausgelöst wird. Der zweite ersetzte bestehende Workflows durch solche mit bestimmten Auslösebedingungen und legte so schlafende Hintertüren an.

Auf befallenen Maschinen exfiltriert die Schadsoftware nahezu jede Art von Geheimnis: CI-Umgebungsvariablen, AWS-Zugangsdaten, GCP-Zugriffstokens, Azure-Anmeldedaten, private SSH-Schlüssel, Docker- und Kubernetes-Konfigurationen, API-Schlüssel, Datenbank-Verbindungszeichenfolgen, GitHub-Actions-Tokens, GitLab-CI/CD-Tokens sowie Dutzende weiterer Geheimnistypen.

Entdeckt wurde Megalodon, nachdem manipulierte Versionen des Tiledesk-Pakets identifiziert worden waren, einer quelloffenen Plattform für Live-Chat und Chatbots. Die infizierten Pakete wurden zwischen dem 19. und 21. Mai veröffentlicht. „Dasselbe NPM-Konto, eljohnny, veröffentlichte sowohl die saubere Version 2.18.5 als auch die kompromittierten Versionen. Der Angreifer rührte das NPM-Konto nie an. Er kompromittierte das GitHub-Repository, und der Maintainer veröffentlichte aus der vergifteten Quelle, ohne es zu bemerken", erklärt SafeDep.

Der schädliche Commit, der zur Infektion führte, wurde am 18. Mai unter dem Autorennamen „build-bot" gepusht. Die Untersuchung der zugehörigen E-Mail-Adresse förderte 2.878 Commits an diesem Tag zutage, dazu 2.841 weitere über eine zweite E-Mail-Adresse. „Alle 5.718 Commits landeten am selben Tag, dem 18. Mai 2026, innerhalb eines sechsstündigen Zeitfensters von etwa 11:36 bis 17:48 UTC und betrafen 5.561 unterschiedliche Repositories", so SafeDep.

Brisant ist die Wahl des Workflow-Typs „workflow_dispatch": Damit lässt sich die schlafende Hintertür zu einem späteren Zeitpunkt über die GitHub-API und mithilfe gestohlener GitHub-Tokens auslösen. Dieser Workflow ist von den Anti-Rekursions-Regeln von GitHub ausgenommen, die verhindern sollen, dass über tokengesteuerte Ereignisse neue Workflow-Läufe gestartet werden.

NPM hat kürzlich angekündigt, alle granularen Zugriffstokens mit Schreibrechten, die die Zwei-Faktor-Authentifizierung umgehen, für ungültig zu erklären – als Reaktion auf Supply-Chain-Angriffe nach dem Muster von Mini Shai-Hulud. Laut Ox Security verhindert dies zwar die Übernahme von Konten, löst das grundlegende Problem aber nicht; Schadcode werde sich weiterhin über kompromittierte Repositories verbreiten.

„Solange Plattformen weiterhin beliebigen Code ohne ernsthafte Prüfung zulassen, wird die Zahl der Angriffe nur steigen", warnt Ox. „Wir sind in eine neue Ära der Supply-Chain-Angriffe eingetreten, und die Kompromittierung von GitHub durch TeamPCP war erst der Anfang. Was kommt, ist eine endlose Welle, ein Tsunami von Cyberangriffen auf Entwickler weltweit."