Исследователи кибербезопасности из Veracode Threat Research обнаружили вредоносный пакет в репозитории npm, который целенаправленно атаковал репозитории GitHub с помощью техники тайпсквоттинга. Зловредный пакет @acitons/artifact имитировал популярный легитимный пакет @actions/artifact, который на момент обнаружения имел более 206 тысяч загрузок.
Описание
По данным экспертов, злоумышленники намеренно поменяли местами буквы "ti" в названии пакета, создав практически неотличимую для невнимательного пользователя подделку. Основной целью атаки стали репозитории, принадлежащие самой компании GitHub, что указывает на целенаправленный характер кампании.
Исследователи обнаружили шесть версий вредоносного пакета, каждая из которых содержала специальный скрипт post-install. Этот скрипт автоматически выполнялся после установки пакета и загружал вредоносную полезную нагрузку (payload) с внешнего ресурса. Примечательно, что на момент обнаружения ни один из популярных антивирусных продуктов не детектировал эту угрозу.
Анализ кода показал, что вредоносная программа была настроена на кражу токенов доступа из среды сборки GitHub Actions. Полученные учетные данные затем могли быть использованы для публикации новых вредоносных артефактов от имени GitHub. Особенностью атаки стала ее избирательность - malware проверял принадлежность репозитория к организации GitHub и прекращал выполнение, если это условие не выполнялось.
В ходе расследования выяснились дополнительные технические детали. Вредоносный скрипт использовал обфусцированный код, скомпилированный с помощью инструмента Shell Script Compiler. Программа также содержала механизм контроля времени выполнения - она автоматически прекращала работу после 6 ноября 2025 года. Для передачи данных злоумышленники использовали зашифрованное соединение с сервером через службу динамического DNS.
К моменту публикации отчета исследователей злоумышленники уже удалили вредоносные версии пакета. В репозитории npm осталась только версия 4.0.10, которая не содержит опасного функционала. Эксперты отмечают, что уведомили администрацию npm о обнаруженной угрозе, а пользователи решения Veracode Package Firewall были защищены с момента обнаружения пакета.
Данный инцидент наглядно демонстрирует растущую угрозу для цепочек поставки программного обеспечения. Неслучайно в предварительной версии OWASP Top 10 2025 риски, связанные с нарушениями в цепочке поставок ПО, занимают третье место в категории A03:2025-Software Supply Chain Failures. Атака подчеркивает важность проверки зависимостей и использования решений для защиты программных цепочек поставки.
Ранее в ноябре исследователи уже обнаружили и заблокировали 12 версий другого вредоносного пакета под названием "8jfiesaf83", что указывает на активизацию злоумышленников в этом направлении. Специалисты рекомендуют разработчикам тщательно проверять названия устанавливаемых пакетов и использовать специализированные решения для мониторинга зависимостей.
Инцидент с пакетом @acitons/artifact стал очередным напоминанием о том, что даже крупнейшие платформы разработки не застрахованы от целевых атак. Использование методов социальной инженерии в сочетании с техническими ухищрениями позволяет злоумышленникам обходить традиционные средства защиты. В современных условиях организациям необходимо внедрять комплексный подход к безопасности, включающий как технические controls, так и повышение осведомленности разработчиков.
Индикаторы компрометации
SHA256
- e3a6d0d139dc56f28f82ec161b3d17ecd137b088acd3a0e8330a5d412c025b73
NPM Packages
- @acitons/artifact@4.0.12
- @acitons/artifact@4.0.13
- @acitons/artifact@4.0.14
- @acitons/artifact@4.0.15
- @acitons/artifact@4.0.16
- @acitons/artifact@4.0.17
- 8jfiesaf83@1.0.0
- 8jfiesaf83@1.0.1
- 8jfiesaf83@1.0.2
- 8jfiesaf83@1.0.3
- 8jfiesaf83@1.0.4
- 8jfiesaf83@1.0.5
- 8jfiesaf83@1.0.6
- 8jfiesaf83@1.0.7
- 8jfiesaf83@1.0.8
- 8jfiesaf83@1.0.9
- 8jfiesaf83@1.0.10
- 8jfiesaf83@1.0.11
NPM Users
- blakesdev
GitHub Users
- jmasdg
- f8snaf
- s0larized
