Pesquisadores em cibersegurança identificaram um pacote malicioso na npm chamado "@acitons/artifact", que pratica typosquatting em relação ao pacote legítimo "@actions/artifact", com o objetivo de atacar repositórios hospedados no GitHub.
Segundo análise da Veracode, o malware tinha a intenção de executar um script durante o processo de build dos repositórios, capturar tokens disponíveis no ambiente e usá-los para publicar artefatos maliciosos em nome do GitHub.
A empresa de segurança identificou seis versões do pacote — da 4.0.12 até a 4.0.17 — que utilizavam um post-install hook para baixar e executar o malware.
No entanto, a última versão disponível para download na npm é a 4.0.10, indicando que o responsável pelo pacote, identificado como blakesdev, removeu as versões comprometidas.
O pacote foi publicado originalmente em 29 de outubro de 2023 e chegou a acumular 31.398 downloads semanais.
No total, foram registrados 47.405 downloads, conforme dados do npm-stat.
A Veracode também detectou outro pacote chamado "8jfiesaf83", com funcionalidade semelhante, que já não está disponível na plataforma, mas foi baixado 1.016 vezes.
Na análise detalhada de uma das versões maliciosas, o script postinstall tenta baixar um binário chamado "harness" a partir de uma conta do GitHub que já foi removida.
Esse binário é um shell script ofuscado que inclui uma verificação para impedir sua execução após 6 de novembro de 2023 (horário UTC).
O malware também executa um arquivo JavaScript chamado "verify.js", que verifica a presença de variáveis de ambiente específicas do GitHub Actions (prefixadas por GITHUB_) e exfiltra os dados coletados, criptografados, para um arquivo de texto hospedado no subdomínio "app.github[.]dev".
De acordo com a Veracode, o ataque era direcionado exclusivamente a repositórios da organização GitHub, configurando uma campanha voltada à própria plataforma.
Foi identificado um usuário chamado y8793hfiuashfjksdhfjsk, com conta ativa, porém sem atividade pública, que pode ter sido usado para testes pelo invasor.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...