Pacote falso do NPM com 206 mil downloads teve como alvo o GitHub para obter credenciais.

Pesquisadores de cibersegurança da Veracode descobriram uma campanha que visava roubar credenciais críticas da própria base de código do GitHub. O ataque consistia em hackers implantando um componente de software falso no npm (Node Package Manager) , uma enorme biblioteca pública usada por desenvolvedores para compartilhar código JavaScript.

Para sua informação, um pacote npm é uma pasta que contém código, documentação e metadados que os desenvolvedores podem facilmente compartilhar e integrar em seus projetos. Isso os ajuda a construir aplicações modernas, reutilizando componentes de código existentes e testados, em vez de escrever tudo do zero.

A equipe de pesquisa de ameaças da empresa de cibersegurança Veracode identificou, na sexta-feira, 7 de novembro, um pacote npm malicioso, um GitHub Actions Toolkit chamado “ @acitons/artifact" . Esse nome é um exemplo claro de como os golpistas usam um truque chamado typosquatting para enganar usuários desavisados.

Esse tipo de ataque envolve o registro de um nome que intencionalmente se parece com um erro de digitação de um nome legítimo (o pacote real é @actions/artifact ), na esperança de que os desenvolvedores baixem acidentalmente o pacote errado. O pacote malicioso foi surpreendentemente popular, tendo sido baixado mais de 206.000 vezes.

Esse tipo de violação, tecnicamente chamada de Falha na Cadeia de Suprimentos de Software, tornou-se uma grande preocupação, chegando até mesmo à lista OWASP TOP 10 2025 (RC1) dos principais riscos, observaram os pesquisadores na postagem do blog compartilhada com o Hackread.com.

O pacote de código falso foi configurado para executar uma sequência perigosa imediatamente após a instalação. Ele continha um gancho pós-instalação (basicamente um script especial) que baixava e executava malware para roubar tokens do GitHub .

Considere esses tokens como chaves de acesso temporárias para o ambiente de código. Os pesquisadores da Veracode acreditam que a motivação final era "exfiltrar os tokens disponíveis para o ambiente de compilação e, em seguida, usar esses tokens para publicar novos artefatos maliciosos no GitHub".

Investigações adicionais revelaram que o malware era extremamente específico. Ele foi programado para verificar em qual repositório estava hospedado e tinha como alvo específico os repositórios pertencentes à organização GitHub. Uma verificação dentro do código malicioso garantia que ele "seria encerrado se a organização não fosse o GitHub", confirmando que os atacantes visavam a plataforma principal.

Vale ressaltar que, quando os pesquisadores encontraram o malware pela primeira vez, nem mesmo os softwares antivírus mais populares o detectaram. Os atacantes também incluíram uma data de expiração, programando o código para parar de funcionar após 06/11/2025 UTC. A pesquisa também identificou e bloqueou outro pacote falso chamado “ 8jfiesaf83 ”.

Na segunda-feira, 10 de novembro, as versões maliciosas do pacote foram removidas, provavelmente pelos próprios atacantes ou pelo GitHub. A boa notícia é que a Veracode confirmou que os clientes que utilizam seu serviço de segurança, o Package Firewall, foram protegidos instantaneamente após a identificação da ameaça na sexta-feira.