Investigadores de ciberseguridad han descubierto un paquete npm malicioso llamado «@acitons/artifact» que escribe el paquete legítimo «@actions/artifact» para apuntar a repositorios propiedad de GitHub.
«Creemos que el propósito era ejecutar este script durante la construcción de un repositorio propiedad de GitHub, extraer tokens disponibles en el entorno de construcción y utilizar esos tokens para publicar nuevos artefactos maliciosos como GitHub», dijo Veracode en su análisis.
La empresa de ciberseguridad dijo que observó seis versiones del paquete (4.0.12 a 4.0.17) que incluían ganchos posteriores a la instalación para descargar y ejecutar malware. Sin embargo, la última versión disponible para descargar desde npm es la 4.0.10, lo que indica que blakesdev, el actor de amenazas detrás del paquete, eliminó todas las versiones en cuestión.
Este paquete se cargó por primera vez el 29 de octubre de 2025 y desde entonces se ha descargado 31.398 veces por semana. Según datos de npm-stat, se ha descargado un total de 47.405 veces. Veracode también dijo que identificó otro paquete npm llamado «8jfiesaf83» con una funcionalidad similar. Aunque ya no está disponible para descargar, parece haber sido descargado 1.016 veces.
Un análisis más detallado de una de las versiones maliciosas del paquete reveló que el script posterior a la instalación estaba configurado para descargar un binario llamado «arnés» de una cuenta de GitHub ahora eliminada. Este binario es un script de shell ofuscado que contiene una verificación para evitar la ejecución si la hora es posterior al 6 de noviembre de 2025 UTC.
También está diseñado para ejecutar un archivo JavaScript llamado ‘verify.js’. Este archivo verifica la presencia de ciertas variables GITHUB_ que están configuradas como parte del flujo de trabajo de GitHub Actions y extrae los datos recopilados en formato cifrado a un archivo de texto alojado en el subdominio «app.github(.)dev».
«El malware se dirigió únicamente a repositorios propiedad de la organización GitHub, lo que lo convierte en un ataque dirigido contra GitHub», dijo Veracode. «Esta campaña parece estar dirigida a los propios repositorios de GitHub y al usuario y8793hfiuashfjksdhfjsk, que existe pero no tiene actividad de publicación. Esta cuenta de usuario puede tener fines de prueba».
Source link
