На GitHub произошла масштабная атака через open‑source проект

18 мая "вредонос" Megalodon скомпрометировал более 5500 репозиториев. Злоумышленники внедрили вредоносные коммиты через легитимный проект Tiledesk (онлайн‑чаты).

🔍 Что происходит: Администратор Tiledesk одобрил версии 2.18.6 → 2.18.12, содержащие бэкдоры.
Чистая версия — 2.18.5. Последующие оказались заражёнными.

🧠 Функционал вредоноса

Кража CI/CD, AWS, Google Cloud, Azure;
Чтение SSH, Docker, Kubernetes;
Сканирование кода через 30+ регулярных выражений;
Извлечение токенов GitHub, Bitbucket.

📊 Статистика

2 email-адреса;
5561 репозиторий;
Временное окно: чуть более 6 часов.

Безопасность цепочек поставок остаётся системной проблемой.
TeamPCP — возможный вдохновитель, но прямая связь не доказана.