Fałszywy pakiet NPM z 206 tys. pobrań trafił na GitHub w celu uzyskania poświadczeń

Badacze cyberbezpieczeństwa z Veracode odkryli kampanię, której celem była kradzież krytycznych danych uwierzytelniających z własnej bazy kodu GitHub. Atak polegał na umieszczeniu przez hakerów fałszywego komponentu oprogramowania w npm (Node Package Manager) , ogromnej bibliotece publicznej, z której programiści korzystają do udostępniania kodu JavaScript.

Dla Twojej informacji, pakiet npm to folder zawierający kod, dokumentację i metadane, którymi programiści mogą łatwo udostępniać i integrować w swoich projektach. Pomaga im to tworzyć nowoczesne aplikacje poprzez ponowne wykorzystanie istniejących, przetestowanych komponentów kodu zamiast pisania wszystkiego od podstaw.

Zespół badawczy ds. zagrożeń firmy Veracode zajmującej się cyberbezpieczeństwem oznaczył w piątek, 7 listopada, złośliwy pakiet npm, zestaw narzędzi GitHub Actions Toolkit o nazwie „ @acitons/artifact" . Nazwa ta jest wyraźnym przykładem tego, jak oszuści wykorzystują sztuczkę zwaną typosquattingiem , aby oszukać niczego niepodejrzewających użytkowników.

Ten rodzaj ataku polega na zarejestrowaniu nazwy, która celowo wygląda jak literówka, a nie jak prawidłowa nazwa (prawdziwy pakiet to @actions/artifact ), licząc na to, że programiści przypadkowo pobiorą niewłaściwą wersję. Szkodliwy pakiet cieszył się zaskakującą popularnością – został pobrany ponad 206 000 razy.

Tego typu naruszenia, technicznie nazywane awarią łańcucha dostaw oprogramowania, stały się poważnym problemem i trafiły nawet na listę największych zagrożeń OWASP TOP 10 2025 (RC1), jak zauważyli badacze we wpisie na blogu udostępnionym serwisowi Hackread.com.

Pakiet fałszywego kodu został skonfigurowany tak, aby uruchomić niebezpieczną sekwencję natychmiast po instalacji. Zawierał on hak poinstalacyjny (w zasadzie specjalny skrypt), który pobierał i uruchamiał złośliwe oprogramowanie w celu kradzieży tokenów GitHub .

Wyobraź sobie te tokeny jako tymczasowe klucze dostępu do środowiska programistycznego. Badacze z Veracode uważają, że ostatecznym celem było „wydobycie tokenów dostępnych dla środowiska kompilacji, a następnie wykorzystanie ich do publikowania nowych złośliwych artefaktów w serwisie GitHub”.

Dalsze dochodzenie wykazało, że złośliwe oprogramowanie było wyjątkowo ukierunkowane. Zostało zaprogramowane tak, aby sprawdzać, w czyim repozytorium się znajduje, i celowo atakowało repozytoria należące do organizacji GitHub. Kontrola szkodliwego kodu gwarantowała, że ​​„wyjdzie, jeśli organizacją nie jest GitHub”, potwierdzając, że atakujący celowali w platformę główną.

Warto zauważyć, że kiedy badacze po raz pierwszy wykryli złośliwe oprogramowanie, nie wykryło go nawet popularne oprogramowanie antywirusowe. Atakujący dodali również datę ważności, ustawiając kod tak, aby przestał działać po 06.11.2025 UTC. Badania zidentyfikowały i zablokowały również inny fałszywy pakiet o nazwie „ 8jfiesaf83 ”.

Do poniedziałku, 10 listopada, złośliwe wersje pakietu zostały usunięte, prawdopodobnie przez samych atakujących lub przez GitHub. Dobra wiadomość jest taka, że ​​Veracode potwierdziło, że klienci korzystający z ich usługi bezpieczeństwa, Package Firewall, byli chronieni natychmiast po zidentyfikowaniu zagrożenia w piątek.