Serangan Siber Megalodon Susupi 5.500 Repositori GitHub
Komunitas pengembang software global menghadapi ancaman baru setelah terungkapnya kampanye serangan siber berskala besar bernama Megalodon.
Serangan ini dilaporkan berhasil menyusupi lebih dari 5.500 repositori GitHub melalui commit berbahaya.
>>> Brasil Hancurkan Haiti 3-0 di Piala Dunia 2026
Aktivitas ilegal tersebut dirancang untuk mencuri kredensial, token akses, serta berbagai rahasia pengembangan software.
Para peneliti keamanan siber menemukan bahwa Megalodon memanfaatkan workflow GitHub Actions yang disisipkan ke dalam repositori target melalui commit otomatis yang tampak sah.
Dalam kurun waktu sekitar enam jam, pelaku berhasil mendorong lebih dari 5.700 commit berbahaya ke ribuan repositori publik.
Skala serangan tersebut menjadikannya salah satu insiden supply chain attack terbesar yang pernah tercatat di ekosistem GitHub dalam beberapa tahun terakhir.
Peneliti keamanan menemukan bahwa pelaku menggunakan identitas palsu yang menyerupai akun bot otomatis, seperti build-bot dan auto-ci.
Nama-nama tersebut lazim digunakan dalam proses pengembangan software guna menghindari kecurigaan pemilik repositori.
Apabila commit tersebut diterima atau digabungkan ke dalam proyek, workflow GitHub Actions yang telah dimodifikasi akan dijalankan secara otomatis.
Pada tahap inilah malware mulai mengumpulkan berbagai informasi sensitif dari lingkungan CI/CD milik korban.
Data yang menjadi sasaran mencakup token akses cloud, kredensial AWS, Google Cloud, Azure, kunci SSH, token OIDC, konfigurasi Kubernetes, kredensial Terraform, hingga berbagai rahasia dalam pipeline pengembangan.
Dampak dan Risiko Rantai Pasok
Para analis memperingatkan bahwa dampak Megalodon tidak hanya terbatas pada repositori yang terinfeksi secara langsung.
>>> Celah Keamanan Permanen di iPhone Lawas Tak Bisa Ditambal Lewat Update iOS
Jika kode yang telah disusupi digunakan dalam proyek lain atau diterbitkan ke ekosistem seperti npm, ancaman dapat menyebar lebih luas ke pengguna akhir.
Update Terbaru
Gaya Sporty Luxe Olla Ramlan Dukung Tristan Molina di Hyrox Jakarta 2026
Rabu / 01-07-2026, 19:35 WIB
Plot Twist! Wanita Hadiri Baby Shower Simpanan Suaminya Sendiri
Rabu / 01-07-2026, 19:35 WIB
Mulai Agustus, Shopee cs Bakal Pungut Pajak Seller Online
Rabu / 01-07-2026, 19:35 WIB
Deepal S05 Masih CBU dari Thailand, Ini Penjelasan Changan
Rabu / 01-07-2026, 19:35 WIB
Rockstar Bersedia Temui Perwakilan Serikat Pekerja Usai Tuntutan Pengakuan dari Developer GTA 6
Rabu / 01-07-2026, 19:29 WIB
Kritik Pedas Internal Pragmata: Developer Dianggap 'Tidak Kompeten' dalam Level Design
Rabu / 01-07-2026, 19:29 WIB
Leon Marchand Mundur dari Kejuaraan Renang Prancis karena Cedera
Rabu / 01-07-2026, 19:28 WIB
Hubert Hurkacz Tantang Sebastian Ofner di Babak Kedua Wimbledon 2026
Rabu / 01-07-2026, 19:28 WIB
Jamison dan Kennedy Wilson Ubah WTC Los Angeles Jadi 512 Unit Hunian Terjangkau
Rabu / 01-07-2026, 19:28 WIB
Polisi Tangkap Saudara Bintang NFL Calais Campbell atas Pembunuhan Ibu
Rabu / 01-07-2026, 19:28 WIB
Niger Berlakukan KUHP Ketat dan Resmi Keluar dari ICC
Rabu / 01-07-2026, 19:25 WIB
Pegadaian Kembali Gelar UKW untuk Ratusan Wartawan Indonesia
Rabu / 01-07-2026, 19:25 WIB
RUPST J Trust Bank Setujui Perubahan Direksi, Fokus Perkuat Tata Kelola
Rabu / 01-07-2026, 19:25 WIB
Fitur Tersembunyi Pixel Ini Bikin Saya Hapus Aplikasi Audio Pihak Ketiga
Rabu / 01-07-2026, 19:21 WIB






