GitHub drabbat: Skadliga npm-paket utlöste Supply Chain-attack
Forskare vid Veracode upptäckte en kampanj där hackare planterade en falsk komponent i npm för att stjäla kritiska behörigheter från GitHub:s kodbas. Attacken illustrerar ett växande hot mot programvaruleveranskedjor.
En nyligen upptäckten kampanj, avslöjad av Veracode, visar på ett allvarligt hot mot GitHub och dess användare. Forskarna identifierade en aktiv attack där hackare lyckades introducera en falsk programvarukomponent i npm (Node Package Manager), en enorm offentlig bibliotekstjänst som utvecklare använder för att dela och integrera JavaScript-kod.
npm-paket är i grunden mappar som innehåller kod, dokumentation och metadata, vilket underlättar återanvändning av testad kod istället för att utvecklare måste skriva allt från början. Veracode:s hotforskningsteam flaggade den skadliga paketet, kallat "@acitons/artifact", redan den 7 november. Namnet är ett tydligt exempel på en typ av attack som kallas typosquatting - en teknik där bedragare registrerar namn som av misstag liknar legitima paketnamn (det riktiga namnet är @actions/artifact) för att lura utvecklare att oavsiktligt ladda ner det felaktiga paketet.
Det skadliga paketet var oväntat populärt och laddades ner över 206 000 gånger. Attacken involverade en sofistikerad mekanism: efter installation utförde paketet en farlig sekvens som omedelbart laddade ner och körde skadlig kod för att stjäla GitHub-tokens. Dessa tokens fungerar som tillfälliga nycklar för att få åtkomst till GitHub:s kodmiljö. Målet var att "exfiltrera tokens som var tillgängliga i byggmiljön och sedan använda dessa tokens för att publicera nya skadliga artefakter som GitHub", enligt Veracode:s utredning.
Det som är särskilt oroande är att attacken var extremt målmedveten. Skadliga koden kontrollerade aktivt vilken repository som användes, och särskilt riktade den sig mot repositories som ägdes av GitHub-organisationen. En kontroll inbyggd i koden säkerställde att den skulle "lämna om organisationen inte var GitHub", vilket indikerar en precis riktad attack.
Vid upptäckten fångade inte ens populär anti-virus-programvaran den skadliga koden, men Veracode ingrep i tid. När hotet identifierades på fredagen, den 7 november, skyddades Veracode-kunder omedelbart genom sin Package Firewall-tjänst. Det skadliga paketet togs bort den 10 november, troligen av själva hackarna eller GitHub. Det var också noterat att paketet hade en angiven slutdatum, 2025-11-06 UTC, vilket tyder på en välplanerad attack med en definierad livslängd.