Pacote malicioso com 206 mil downloads explora repositórios do GitHub
Um pacote malicioso chamado “@acitons/artifact” foi descoberto pela Veracode Threat Research, utilizando técnicas de typosquatting para se passar pelo pacote legítimo “@actions/artifact”, que já conta com mais de 206 mil downloads. O ataque visava repositórios pertencentes ao GitHub, com o objetivo de roubar tokens sensíveis do ambiente de construção e potencialmente publicar conteúdo malicioso disfarçado como artefatos legítimos do GitHub.
O pacote malicioso continha seis versões que incluíam um hook pós-instalação projetado para baixar e executar um binário oculto chamado “ci_test_harness” de uma fonte remota. Este binário era tão sutil e ofuscado que conseguiu evitar a detecção por todos os principais motores antivírus no VirusTotal. O script de instalação executava um comando curl que baixava o binário malicioso, alterava suas permissões e o executava dentro do ambiente de CI/CD.