Nep-NPM-pakket met 206.000 downloads richt zich op GitHub voor inloggegevens

Cybersecurityonderzoekers van Veracode ontdekten een campagne die gericht was op het stelen van cruciale inloggegevens uit de codebase van GitHub. De aanval bestond uit hackers die een nep-softwarecomponent plaatsten op npm (Node Package Manager) , een enorme openbare bibliotheek die ontwikkelaars gebruiken om JavaScript-code te delen.

Ter informatie: een npm-pakket is een map met code, documentatie en metadata die ontwikkelaars eenvoudig kunnen delen en integreren in hun projecten. Dit helpt hen moderne applicaties te bouwen door bestaande, geteste codecomponenten te hergebruiken in plaats van alles vanaf nul te schrijven.

Het cybersecuritybedrijf Veracode's threat research team signaleerde op vrijdag 7 november het schadelijke npm-pakket, een GitHub Actions Toolkit met de naam " @acitons/artifact" . Deze naam is een duidelijk voorbeeld van hoe oplichters een truc genaamd typosquatting gebruiken om nietsvermoedende gebruikers te misleiden.

Bij dit type aanval wordt een naam geregistreerd die er opzettelijk uitziet als een typefout van een legitieme naam (het echte pakket is @actions/artifact ), in de hoop dat ontwikkelaars per ongeluk de verkeerde versie downloaden. Het schadelijke pakket was verrassend populair en werd meer dan 206.000 keer gedownload.

Schermafbeelding gemaakt nadat de auteur van de malware het schadelijke pakket had verwijderd (Bron: Veracode)

Dit type inbreuk, technisch gezien een Software Supply Chain Failure genoemd, is uitgegroeid tot een groot probleem en staat zelfs op de OWASP TOP 10 2025 (RC1)-lijst met grootste risico's, zo schreven onderzoekers in een blogpost die ze met Hackread.com deelden.

Het nepcodepakket was zo opgezet dat het direct na de installatie een gevaarlijke reeks acties uitvoerde. Het bevatte een post-install hook (in feite een speciaal script) die malware downloadde en uitvoerde om GitHub-tokens te stelen.

Beschouw deze tokens als tijdelijke toegangssleutels voor de codeomgeving. De onderzoekers van Veracode geloven dat de uiteindelijke motivatie was om "de tokens die beschikbaar waren voor de buildomgeving te exfiltreren en die tokens vervolgens te gebruiken om nieuwe kwaadaardige artefacten te publiceren op GitHub."

Nader onderzoek wees uit dat de malware extreem gericht was. De malware was geprogrammeerd om te controleren in wiens repository de malware zich bevond, en richtte zich specifiek op repositories die eigendom waren van de GitHub-organisatie. Een controle in de schadelijke code zorgde ervoor dat de malware "afgesloten zou worden als de organisatie niet GitHub was", wat bevestigde dat de aanvallers het op het kernplatform hadden gemunt.

Het is opmerkelijk dat toen de onderzoekers de malware voor het eerst ontdekten, zelfs populaire antivirussoftware deze niet detecteerde. De aanvallers hadden ook een vervaldatum toegevoegd, waardoor de code na 6 november 2025 UTC niet meer zou werken. Het onderzoek identificeerde en blokkeerde ook een ander neppakket genaamd " 8jfiesaf83 ".

Op maandag 10 november waren de kwaadaardige versies van het pakket verwijderd, waarschijnlijk door de aanvallers zelf of door GitHub. Het goede nieuws is dat Veracode bevestigde dat klanten die hun beveiligingsdienst, Package Firewall, gebruikten, direct beschermd waren nadat de dreiging vrijdag werd geïdentificeerd.