Pacchetto NPM falso con 206.000 download ha preso di mira GitHub per le credenziali

I ricercatori di sicurezza informatica di Veracode hanno scoperto una campagna mirata a rubare credenziali critiche dal codice sorgente di GitHub. L'attacco ha coinvolto hacker che hanno installato un componente software falso su npm (Node Package Manager) , un'enorme libreria pubblica utilizzata dagli sviluppatori per condividere codice JavaScript.

Per vostra informazione, un pacchetto npm è una cartella contenente codice, documentazione e metadati che gli sviluppatori possono facilmente condividere e integrare nei loro progetti. Questi li aiutano a creare applicazioni moderne riutilizzando componenti di codice esistenti e testati, invece di dover riscrivere tutto da zero.

Venerdì 7 novembre, il team di ricerca sulle minacce dell'azienda di sicurezza informatica Veracode ha segnalato il pacchetto npm dannoso, un GitHub Actions Toolkit denominato " @acitons/artifact" . Questo nome è un chiaro esempio di come i truffatori utilizzino un trucco chiamato typosquatting per ingannare gli utenti ignari.

Questo tipo di attacco consiste nel registrare un nome che intenzionalmente sembra un errore di battitura di un pacchetto legittimo (il pacchetto originale è @actions/artifact ), sperando che gli sviluppatori scarichino accidentalmente quello sbagliato. Il pacchetto dannoso ha avuto un successo sorprendente, essendo stato scaricato oltre 206.000 volte.

Questo tipo di violazione, tecnicamente chiamata Software Supply Chain Failure, è diventata una preoccupazione importante, tanto da essere inserita nell'elenco dei principali rischi OWASP TOP 10 2025 (RC1), come hanno osservato i ricercatori nel post del blog condiviso con Hackread.com.

Il pacchetto di codice falso era configurato per avviare una sequenza pericolosa subito dopo l'installazione. Conteneva un hook post-installazione (in pratica uno script speciale) che scaricava ed eseguiva malware per rubare token GitHub .

Considerate questi token come chiavi di accesso temporanee per l'ambiente di sviluppo. I ricercatori di Veracode ritengono che la motivazione principale fosse "esfiltrare i token disponibili nell'ambiente di sviluppo e quindi utilizzarli per pubblicare nuovi artefatti dannosi su GitHub".

Ulteriori indagini hanno dimostrato che il malware era estremamente mirato. Era programmato per verificare il repository in cui si trovava e prendeva di mira specificamente i repository di proprietà dell'organizzazione GitHub. Un controllo all'interno del codice dannoso ha garantito che sarebbe "uscito se l'organizzazione non fosse stata GitHub", confermando che gli aggressori stavano prendendo di mira la piattaforma principale.

Vale la pena notare che quando i ricercatori hanno scoperto il malware, nemmeno i software antivirus più diffusi lo hanno rilevato. Gli aggressori avevano anche incluso una data di scadenza, impostando il codice in modo che smettesse di funzionare dopo il 06/11/2025 UTC. La ricerca ha anche identificato e bloccato un altro pacchetto falso chiamato " 8jfiesaf83 ".

Entro lunedì 10 novembre, le versioni dannose del pacchetto sono state rimosse, probabilmente dagli stessi aggressori o da GitHub. La buona notizia è che Veracode ha confermato che i clienti che utilizzavano il suo servizio di sicurezza, Package Firewall, sono stati protetti immediatamente dopo l'identificazione della minaccia, avvenuta venerdì.