Tìm kiếm

Phát hiện gói npm độc hại nhắm mục tiêu các kho lưu trữ thuộc sở hữu của GitHub

Phát hiện gói npm độc hại nhắm mục tiêu các kho lưu trữ thuộc sở hữu của GitHub

Tác giả Starlink, T.M.Một 14, 2025, 09:00:08 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tạo trang in
Xuống cuối trang Trang1
User actions
T.M.Một 14, 2025, 09:00:08 CHIỀU
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một gói npm độc hại có tên "@acitons/artifact" có chức năng đánh máy nhầm gói " @actions/artifact " hợp pháp với mục đích nhắm vào các kho lưu trữ do GitHub sở hữu.

Veracode cho biết trong một bài phân tích: "Chúng tôi cho rằng mục đích của kẻ tấn công là để tập lệnh này thực thi trong quá trình xây dựng kho lưu trữ do GitHub sở hữu, đánh cắp các mã thông báo có sẵn cho môi trường xây dựng và sau đó sử dụng các mã thông báo đó để phát hành các hiện vật độc hại mới dưới dạng GitHub".


Công ty an ninh mạng cho biết họ đã phát hiện sáu phiên bản của gói phần mềm - từ 4.0.12 đến 4.0.17 - tích hợp một hook sau khi cài đặt để tải xuống và chạy phần mềm độc hại. Tuy nhiên, phiên bản mới nhất có thể tải xuống từ npm là 4.0.10, cho thấy tác nhân đe dọa đằng sau gói phần mềm, blakesdev, đã xóa tất cả các phiên bản vi phạm.

Gói này được tải lên lần đầu vào ngày 29 tháng 10 năm 2025 và kể từ đó đã đạt 31.398 lượt tải xuống hàng tuần. Tổng cộng, gói này đã được tải xuống 47.405 lần, theo dữ liệu từ npm-stat. Veracode cũng cho biết họ đã xác định được một gói npm khác có tên "8jfiesaf83" với chức năng tương tự. Gói này hiện không còn khả dụng để tải xuống, nhưng có vẻ như đã được tải xuống 1.016 lần.

Phân tích sâu hơn một trong những phiên bản độc hại của gói này cho thấy tập lệnh sau khi cài đặt được cấu hình để tải xuống tệp nhị phân có tên "harness" từ một tài khoản GitHub hiện đã bị xóa. Tệp nhị phân này là một tập lệnh shell được mã hóa, bao gồm một lệnh kiểm tra để ngăn chặn việc thực thi nếu thời gian sau 2025-11-06 UTC.


Nó cũng được thiết kế để chạy tệp JavaScript có tên "verify.js" để kiểm tra sự hiện diện của một số biến GITHUB_ được thiết lập như một phần của quy trình làm việc GitHub Actions và trích xuất dữ liệu đã thu thập được ở định dạng được mã hóa vào tệp văn bản được lưu trữ trên tên miền phụ "app.github[.]dev".

"Phần mềm độc hại chỉ nhắm vào các kho lưu trữ thuộc sở hữu của tổ chức GitHub, khiến đây trở thành một cuộc tấn công có chủ đích nhắm vào GitHub", Veracode cho biết. "Chiến dịch dường như nhắm vào các kho lưu trữ riêng của GitHub cũng như một người dùng y8793hfiuashfjksdhfjsk hiện đang tồn tại nhưng không có hoạt động công khai nào. Tài khoản người dùng này có thể đang được thử nghiệm."
Tạo trang in
Lên đầu trang Trang1
User actions

Phát hiện gói npm độc hại nhắm mục tiêu các kho lưu trữ thuộc sở hữu của GitHub