Le 18 mai 2026, entre 11h36 et 17h48 UTC, une attaque d’une ampleur inédite a frappé l’un des piliers du développement logiciel mondial : GitHub. En l’espace de six heures seulement, une campagne baptisée Megalodon a compromis 5 561 dépôts publics en y injectant 5 718 commits malveillants. Ni ransomware bruyant, ni attaque frontale. Juste du code silencieux, glissé dans vos pipelines de développement, attendant patiemment de frapper.
Que vous soyez développeur solo, membre d’une équipe DevOps ou simple utilisateur de logiciels open source, cette attaque vous concerne directement. Voici pourquoi.
Une attaque invisible dans vos pipelines de développement
GitHub Actions est un outil utilisé par des millions de développeurs dans le monde. Il permet d’automatiser la compilation, les tests et le déploiement des applications, c’est ce qu’on appelle l’intégration continue ou CI/CD. C’est précisément ce système de confiance que les attaquants ont ciblé.
En effet, le mode opératoire de Megalodon est d’une redoutable simplicité. Les pirates ont exploité des dépôts GitHub dont la protection de branche était insuffisante. Ainsi, ils ont pu pousser directement du code malveillant sans passer par une revue de pull request, c’est-à-dire sans que personne ne valide quoi que ce soit. Par conséquent, des scripts bash encodés en base64 ont été injectés dans les fichiers de workflow. Ces scripts s’exécutaient automatiquement à chaque compilation du projet.
Ce type d’attaque s’appelle une Poisoned Pipeline Execution (PPE). Pourtant, elle reste méconnue du grand public, alors qu’elle représente aujourd’hui l’une des menaces les plus sérieuses pour les équipes de développement logiciel.
Des données volées d’une valeur incalculable
Lors de l’attaque Megalodon, les pirates n’ont pas volé des données utilisateurs classiques. En réalité, ils ont ciblé les ressources les plus précieuses d’une organisation technique. Voici ce qu’ils ont dérobé à chaque exécution du pipeline :
- Identifiants cloud : AWS, Google Cloud Platform, Azure
- Clés SSH privées
- Tokens GitHub Actions et GitLab CI/CD
- Configurations Docker et Kubernetes
- Clés API et chaînes de connexion aux bases de données
- Tokens OIDC permettant d’usurper l’identité du pipeline
Toutes ces données étaient ensuite compressées et envoyées via une requête HTTPS POST vers un serveur de commande et de contrôle (C2) situé à l’adresse 216.126.225.129:8443. En clair, les attaquants disposaient d’un accès total aux infrastructures cloud des victimes.
5 718 commits en six heures : une automatisation terrifiante
L’une des caractéristiques les plus effrayantes de Megalodon, c’est sa vitesse d’exécution. En seulement six heures, les attaquants ont poussé 5 718 commits malveillants sur 5 561 dépôts distincts. Pour masquer leur identité, ils ont utilisé de faux comptes bots aux noms inoffensifs : build-bot, ci-bot, auto-ci ou encore pipeline-bot.
De plus, les attaquants ont déployé deux variantes du malware. La première, baptisée SysDiag, s’activait automatiquement à chaque push ou pull request. La seconde, Optimize-Build, créait une porte dérobée dormante, activable à distance via l’API GitHub avec les tokens volés. Autrement dit, même après suppression du commit malveillant, la menace pouvait persister.
Selon les chercheurs de SafeDep, qui ont découvert la campagne, l’attaque a été détectée après la compromission du package open source Tiledesk, une plateforme de chat. C’est ce fil conducteur qui a permis de remonter jusqu’aux 5 561 dépôts infectés. Pour en savoir plus, vous pouvez consulter le rapport complet de SafeDep.
Pourquoi cette attaque est un signal d’alarme pour toute la chaîne logicielle
Megalodon illustre un phénomène inquiétant : les attaques contre la chaîne d’approvisionnement logicielle (software supply chain) sont en pleine explosion. Plutôt que d’attaquer une cible frontalement, les pirates s’infiltrent dans les outils de développement utilisés par des milliers d’entreprises. Ainsi, une seule infection peut toucher un nombre considérable de victimes en cascade.
C’est d’ailleurs ce que le FBI et la CISA ont souligné dans leurs alertes récentes : les pipelines CI/CD représentent désormais une surface d’attaque prioritaire pour les groupes cybercriminels. Néanmoins, beaucoup d’équipes de développement n’ont pas encore pris la mesure de ce risque.
Comment protéger vos dépôts GitHub contre une attaque Megalodon
Heureusement, il existe des mesures concrètes pour réduire considérablement votre exposition à ce type d’attaque sur GitHub Actions. Voici les 5 réflexes à adopter dès maintenant :
- Activer la protection de branche sur tous vos dépôts et exiger une revue obligatoire avant tout merge.
- Auditer régulièrement vos workflows GitHub Actions et supprimer ceux que vous ne reconnaissez pas.
- Restreindre les permissions des tokens : n’accordez que les droits strictement nécessaires à chaque job CI/CD.
- Utiliser des secrets rotatifs : changez régulièrement vos clés API, tokens et identifiants cloud.
- Déployer un outil de surveillance des workflows comme StepSecurity ou Semgrep pour détecter les anomalies.
Ces bonnes pratiques, bien qu’essentielles, ne suffisent pas toujours. C’est pourquoi il est également recommandé de sensibiliser toute l’équipe aux risques liés aux pipelines CI/CD. La sécurité n’est pas seulement une affaire d’outils — c’est avant tout une culture.
Megalodon : un avant-goût des cyberattaques de demain
La campagne Megalodon n’est probablement pas un cas isolé. En réalité, elle marque une évolution profonde dans les stratégies des cybercriminels. Fini les attaques massives et bruyantes : place à l’infiltration silencieuse, patiente et automatisée des infrastructures de confiance.
GitHub, npm, PyPI, Docker Hub… tous ces écosystèmes open source sont aujourd’hui dans le viseur. Par conséquent, développeurs et responsables sécurité doivent impérativement repenser leur modèle de confiance. Ne faites plus aveuglément confiance à votre pipeline. Vérifiez, auditez, surveillez.
Cet article vous a été utile ? Partagez-le autour de vous et découvrez aussi nos analyses sur le piratage de caméras IP ou sur les dernières vulnérabilités critiques détectées en 2026. Restez informés, restez protégés.