Faux package NPM avec 206 000 téléchargements ciblant GitHub pour obtenir des identifiants

Des chercheurs en cybersécurité de Veracode ont découvert une campagne visant à dérober des identifiants critiques au sein même du code source de GitHub. L'attaque consistait à implanter un faux composant logiciel sur npm (Node Package Manager) , une vaste bibliothèque publique utilisée par les développeurs pour partager du code JavaScript.

Pour information, un package npm est un dossier contenant du code, de la documentation et des métadonnées que les développeurs peuvent facilement partager et intégrer à leurs projets. Cela leur permet de créer des applications modernes en réutilisant des composants de code existants et testés, au lieu de tout réécrire.

L'équipe de recherche sur les menaces de la société de cybersécurité Veracode a signalé le vendredi 7 novembre un package npm malveillant, un GitHub Actions Toolkit nommé « @acitons/artifact" . Ce nom est un exemple clair de la façon dont les escrocs utilisent une technique appelée typosquatting pour tromper les utilisateurs non avertis.

Ce type d'attaque consiste à enregistrer un nom qui ressemble intentionnellement à une faute de frappe d'un nom légitime (le vrai nom du paquet est @actions/artifact ), dans l'espoir que les développeurs téléchargent accidentellement le mauvais paquet. Ce paquet malveillant a connu un succès surprenant, avec plus de 206 000 téléchargements.

Ce type de violation, techniquement appelé défaillance de la chaîne d'approvisionnement logicielle, est devenu une préoccupation majeure, figurant même sur la liste OWASP TOP 10 2025 (RC1) des principaux risques, ont noté les chercheurs dans l' article de blog partagé avec Hackread.com.

Le faux package de code était conçu pour lancer une séquence dangereuse immédiatement après son installation. Il contenait un hook post-installation (un script spécial) qui téléchargeait et exécutait un logiciel malveillant pour voler les jetons GitHub .

Ces jetons peuvent être considérés comme des clés d'accès temporaires à l'environnement de développement. Les chercheurs de Veracode pensent que la motivation principale était d'« exfiltrer les jetons disponibles dans l'environnement de compilation, puis de les utiliser pour publier de nouveaux éléments malveillants sur GitHub ».

Des investigations complémentaires ont révélé que le logiciel malveillant était extrêmement ciblé. Programmé pour vérifier à quel dépôt il appartenait, il visait spécifiquement les dépôts de l'organisation GitHub. Un mécanisme de vérification au sein du code malveillant garantissait son arrêt si l'organisation n'était pas GitHub, confirmant ainsi que les attaquants visaient la plateforme elle-même.

Il est à noter que lors de la découverte initiale du logiciel malveillant par les chercheurs, même les antivirus les plus populaires ne l'ont pas détecté. Les attaquants avaient également prévu une date d'expiration, programmant l'arrêt du code après le 6 novembre 2025 à UTC. L'étude a également permis d'identifier et de bloquer un autre faux paquet nommé « 8jfiesaf83 ».

Lundi 10 novembre, les versions malveillantes du paquet ont été supprimées, probablement par les attaquants eux-mêmes ou par GitHub. Bonne nouvelle : Veracode a confirmé que les clients utilisant son service de sécurité, Package Firewall, ont été protégés instantanément après l’identification de la menace vendredi.