🗓️ Contexte

Article publié le 23 mai 2026 par Hudson Rock sur la plateforme infostealers.com. L’analyse croise les découvertes de OX Security, SafeDep et Datadog Security Labs sur une campagne d’attaque supply chain massive nommée Megalodon.

🎯 Description de l’attaque

En l’espace de six heures, des acteurs malveillants ont poussé des milliers de commits vers des dépôts GitHub publics, infectant plus de 5 000 repositories. Le vecteur principal repose sur l’injection de payloads encodés en Base64 directement dans des fichiers de workflow YAML ciblant GitHub Actions.

Les attaquants ont exploité :

  • Des protections de branches faibles
  • Des comptes jetables ou compromis
  • Des workflows conçus pour exfiltrer tous les secrets accessibles par le runner

🔑 Secrets ciblés

  • Clés AWS
  • Tokens OAuth GCP
  • Clés privées SSH
  • Tokens GitHub OIDC

🦈 Origine : le framework Shai Hulud open-sourcé

Le groupe cybercriminel à motivation financière TeamPCP a rendu public leur framework offensif Shai Hulud quelques semaines avant la campagne. Analysé par Datadog Security Labs, ce framework de qualité production fournit un blueprint pour la récolte de credentials et l’empoisonnement de supply chain, abaissant drastiquement la barrière d’entrée pour des attaquants copycat.

🔍 Découverte Hudson Rock : les infostealers comme cause racine

Hudson Rock a croisé les usernames GitHub associés aux dépôts compromis avec leur base de données de cybercriminalité :

  • 331 sur 978 usernames uniques (>33%) correspondent à des machines infectées par des infostealers
  • Pour chaque correspondance, une credential github.com a été récoltée depuis la machine infectée

Une investigation manuelle sur le compte bryanalexandersantoso (initialement non trouvé) a permis d’extraire l’email pilarmuhammad215@gmail.com depuis l’historique de commits, confirmant une infection infostealer récente. Conclusion : les comptes compromis proviennent exclusivement de données infostealers.

🏢 Ampleur de l’exposition corporate

  • Plus de 24 000 entreprises ont des employés avec des credentials GitHub compromis
  • Exemples identifiés : Anheuser-Busch InBev, Accenture (10+ employés infectés), Dell (11 000+ partenaires compromis dont ABB)
  • Secteurs touchés : logiciels, automobile, médical, médias, etc.

📋 Type d’article

Publication de recherche à visée CTI, combinant analyse technique d’incident, corrélation de données cybercriminelles et présentation d’une nouvelle fonctionnalité commerciale (Supply Chain Monitoring) par Hudson Rock.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1078 — Valid Accounts (Initial Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1566 — Phishing (Initial Access)

IOC

  • Emails : pilarmuhammad215@gmail.com

Malware / Outils

  • Shai Hulud (framework)
  • Megalodon (other)

🟡 Indice de vérification factuelle : 51/100 (moyenne)

  • ⬜ infostealers.com — source non référencée (0pts)
  • ✅ 10996 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : TeamPCP (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.infostealers.com/article/infostealers-just-spawned-a-5000-repo-github-supply-chain-attack/?utm_source=substack&utm_medium=email