Поддельный пакет NPM с 206 тыс. загрузок подвергся атаке GitHub с целью получения учётных данных

Исследователи кибербезопасности из Veracode обнаружили кампанию, целью которой была кража критически важных учётных данных из кодовой базы GitHub. В ходе атаки хакеры внедрили поддельный программный компонент в npm (Node Package Manager) — огромную публичную библиотеку, используемую разработчиками для обмена кодом JavaScript.

К вашему сведению, пакет npm — это папка, содержащая код, документацию и метаданные, которые разработчики могут легко интегрировать в свои проекты и делиться ими. Это помогает им создавать современные приложения, повторно используя существующие протестированные компоненты кода, а не писать всё с нуля.

Группа по исследованию угроз компании Veracode, занимающейся кибербезопасностью, в пятницу, 7 ноября, обнаружила вредоносный пакет npm, GitHub Actions Toolkit под названием « @acitons/artifact" . Это имя — наглядный пример того, как мошенники используют трюк под названием тайпсквоттинг, чтобы обмануть ничего не подозревающих пользователей.

Этот тип атаки подразумевает регистрацию имени, намеренно выглядящего как опечатка легитимного пакета (настоящий пакет — @actions/artifact ), в надежде, что разработчики случайно скачают не тот. Вредоносный пакет оказался на удивление популярным: его скачали более 206 000 раз.

Исследователи в сообщении в блоге, опубликованном на Hackread.com, отметили, что этот тип нарушений, технически называемый сбоем цепочки поставок программного обеспечения, стал серьезной проблемой и даже попал в список главных рисков OWASP TOP 10 2025 (RC1).

Пакет с поддельным кодом был настроен на запуск опасной последовательности сразу после установки. Он содержал пост-инсталляционный хук (фактически, специальный скрипт), который загружал и запускал вредоносное ПО для кражи токенов GitHub .

Представьте себе эти токены как временные ключи доступа к среде разработки кода. Исследователи Veracode полагают, что главной целью было «извлечь токены, доступные в среде сборки, а затем использовать их для публикации новых вредоносных артефактов на GitHub».

Дальнейшее расследование показало, что вредоносное ПО было крайне целенаправленным. Оно было запрограммировано на проверку репозитория, в котором оно находится, и целенаправленно атаковало репозитории, принадлежащие организации GitHub. Проверка внутри вредоносного кода гарантировала, что оно «завершит работу, если организация не является GitHub», что подтверждало, что целью злоумышленников была основная платформа.

Стоит отметить, что когда исследователи впервые обнаружили вредоносную программу, даже популярные антивирусы не смогли её обнаружить. Злоумышленники также установили срок действия, чтобы код перестал работать после 06.11.2025 UTC. Исследование также выявило и заблокировало другой поддельный пакет под названием « 8jfiesaf83 ».

К понедельнику, 10 ноября, вредоносные версии пакета были удалены, вероятно, самими злоумышленниками или GitHub. Хорошая новость заключается в том, что Veracode подтвердила, что клиенты, использующие их сервис безопасности Package Firewall, были защищены мгновенно после обнаружения угрозы в пятницу.