Hack Alerta

Pacote npm malicioso com 206k downloads visava repositórios GitHub

Por Redação Hack Alerta Publicado em 14/11/2025 16:02 Riscos e Ameaças Tempo de leitura: 3 min

Um pacote npm malicioso com mais de 206.000 downloads, publicado como "@acitons/artifact" (typosquatting), incluía hooks post‑install para roubar tokens de ambientes GitHub Actions e enviar dados encriptados a servidores de comando e controle.

Pesquisadores descobriram um pacote npm malicioso — publicado com o nome "@acitons/artifact" (typosquatting em relação a "@actions/artifact") — que acumulou mais de 206.000 downloads e foi projetado para exfiltrar tokens de repositórios executados em GitHub Actions.

Descoberta e escopo

O incidente foi identificado em 7 de novembro, quando analistas notaram que o pacote imitava um pacote legítimo utilizado em fluxos de CI/CD. Seis versões do pacote malicioso incluíam um hook post‑install que baixava e executava código oculto.

Vetor e técnica de exfiltração

Quando instalado em ambientes de build que executam GitHub Actions, o pacote verificava variáveis de ambiente específicas do runner e, ao confirmar o contexto adequado (repositórios pertencentes à organização GitHub), executava um script bash que carregava um arquivo obfuscado "verify.js". O malware obtinha uma chave de criptografia de um servidor externo, encriptava os tokens roubados e enviava os dados a um servidor de comando e controle.

Motivação e gravidade

Com tokens de build, atacantes poderiam publicar código a partir de contas do próprio GitHub — um vetor que representa risco elevado para a integridade de repositórios e pipelines. A campanha evidencia vulnerabilidades na cadeia de suprimentos de software e o risco de typosquatting em registries públicos.

Detecção e proteção

Veracode foi citada como fonte de análise e informou que o código malicioso não era detectado por alguns antivírus no momento da descoberta. Soluções como firewalls de pacotes (Package Firewall) e verificações de integridade de dependências bloquearam a ameaça para clientes que as utilizavam após a detecção.

Características técnicas relevantes

  • Nome malicioso: "@acitons/artifact" (typosquatting de "@actions/artifact");
  • Downloads: mais de 206.000;
  • Mecanismo: hook post‑install que baixa e executa código ofuscado;
  • Alvo preciso: repositórios pertencentes à organização GitHub, segundo a análise.

Mitigações recomendadas

As fontes recomendam restringir a execução de código arbitrário durante pipelines, validar pacotes por assinatura, usar mecanismos de verificação de dependências (SBOM, ferramentas de análise de supply chain) e adotar conteúdos/filtragem em registries para detectar typosquatting e pacotes suspeitos.

Limites

As análises citadas descrevem comportamento, escopo de versões e técnicas de evasão, mas não publicam uma lista completa de hashes/IoCs no sumário consultado; as equipes de resposta e automação devem consultar o advisories técnicos originais para ações de remediação.

Baseado em publicação original de Cyber Security News
Tags: #npm #supply-chain #typosquatting #github-actions #tokens #veracode #malware #ci-cd #security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar