Pesquisadores de cibersegurança descobriram um pacote npm malicioso chamado “@acitons/artifact”, que faz typosquatting do legítimo “@actions/artifact”. O objetivo é comprometer repositórios pertencentes ao GitHub. A análise da Veracode revelou que seis versões do pacote, de 4.0.12 a 4.0.17, continham um script pós-instalação que baixava e executava malware. Embora a versão mais recente disponível no npm seja 4.0.10, o autor do pacote, identificado como blakesdev, removeu as versões comprometidas. O pacote foi carregado em 29 de outubro de 2025 e acumulou 31.398 downloads semanais, totalizando 47.405 downloads. Além disso, foi identificado outro pacote malicioso, “8jfiesaf83”, que também foi removido, mas teve 1.016 downloads. O script pós-instalação do pacote malicioso baixa um binário chamado “harness” de uma conta do GitHub que foi excluída, e executa um arquivo JavaScript que verifica variáveis do GitHub Actions, exfiltrando dados para um arquivo de texto em um subdomínio do GitHub. A Veracode classificou o ataque como direcionado, focando em repositórios do GitHub e uma conta de usuário sem atividade pública, possivelmente para testes.
Fonte: https://thehackernews.com/2025/11/researchers-detect-malicious-npm.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
11/11/2025 • Risco: ALTO
MALWARE
Pacote npm malicioso visa repositórios do GitHub
RESUMO EXECUTIVO
O ataque direcionado a repositórios do GitHub através de pacotes npm maliciosos representa uma ameaça significativa para a segurança de software. A exfiltração de tokens pode levar a compromissos maiores, exigindo que as empresas adotem medidas proativas para proteger seus ambientes de desenvolvimento.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais custos associados à recuperação de dados e à mitigação de danos.
Operacional
Exfiltração de tokens do ambiente de build do GitHub.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
47.405 downloads totais do pacote malicioso
Indicador
31.398 downloads semanais
Contexto BR
1.016 downloads do pacote 8jfiesaf83
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há uso do pacote @acitons/artifact em repositórios internos.
2
Remover qualquer versão do pacote malicioso e monitorar atividades suspeitas.
3
Monitorar repositórios do GitHub para atividades não autorizadas e implementar alertas para downloads de pacotes não verificados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de repositórios do GitHub, que são críticos para o desenvolvimento de software. O ataque pode comprometer a integridade do código e a segurança dos dados.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente em relação à segurança de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
