Pacote malicioso com 206 mil downloads explora repositórios do GitHub

BR Defense Center (By River de Morais e Silva)
ataque

Um pacote malicioso chamado “@acitons/artifact” foi descoberto pela Veracode Threat Research, utilizando técnicas de typosquatting para se passar pelo pacote legítimo “@actions/artifact”, que já conta com mais de 206 mil downloads. O ataque visava repositórios pertencentes ao GitHub, com o objetivo de roubar tokens sensíveis do ambiente de construção e potencialmente publicar conteúdo malicioso disfarçado como artefatos legítimos do GitHub.

O pacote malicioso continha seis versões que incluíam um hook pós-instalação projetado para baixar e executar um binário oculto chamado “ci_test_harness” de uma fonte remota. Este binário era tão sutil e ofuscado que conseguiu evitar a detecção por todos os principais motores antivírus no VirusTotal. O script de instalação executava um comando curl que baixava o binário malicioso, alterava suas permissões e o executava dentro do ambiente de CI/CD.

Os pesquisadores identificaram um mecanismo de expiração embutido que bloqueava a execução após 6 de novembro de 2025, indicando um planejamento avançado por parte do atacante. O ataque foi altamente focado, ativando o payload apenas se o proprietário do repositório fosse “github”, o que demonstra a sofisticação das ameaças à cadeia de suprimentos de software. A remoção rápida das versões maliciosas do npm destaca a importância de mecanismos de defesa proativos em ambientes de CI/CD.

Fonte: https://cyberpress.org/github-token-theft/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
13/11/2025 • Risco: ALTO
ATAQUE

Pacote malicioso com 206 mil downloads explora repositórios do GitHub

RESUMO EXECUTIVO
O ataque ao pacote npm malicioso destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de monitoramento rigoroso. A exploração de repositórios do GitHub para roubo de tokens sensíveis pode ter consequências legais e financeiras significativas, especialmente em conformidade com a LGPD.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido ao roubo de dados e à interrupção de serviços.
Operacional
Roubo de tokens sensíveis e potencial publicação de conteúdo malicioso.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software', 'Startups']

📊 INDICADORES CHAVE

206.000 downloads do pacote malicioso Indicador
Seis versões maliciosas lançadas Contexto BR
Bloqueio da execução após 6 de novembro de 2025 Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se há dependências do pacote @acitons/artifact em projetos internos.
2 Remover qualquer versão do pacote malicioso e substituir por versões legítimas.
3 Monitorar continuamente a integridade dos repositórios e a atividade de pacotes npm.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança da cadeia de suprimentos de software, especialmente em plataformas amplamente utilizadas como o GitHub, onde a integridade do código é crucial.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD, especialmente em relação ao tratamento de dados sensíveis.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).