Các nhà nghiên cứu bảo mật tại Veracode vừa cảnh báo về một package npm chứa mã độc có tên “@acitons/artifact”, sử dụng kỹ thuật typosquatting để mạo danh package “@actions/artifact” chính thức của GitHub. Mục tiêu của package này là tấn công vào chính các repository thuộc sở hữu của GitHub để đánh cắp token trong môi trường build.

heo Veracode, sáu phiên bản của package (từ 4.0.12 đến 4.0.17) đã tích hợp một post-install hook để tự động tải về và chạy mã độc. Gói này, được tải lên bởi tác giả blakesdev, đã đạt tổng cộng 47.405 lượt tải (theo npm-stat). Mặc dù hacker dường như đã gỡ bỏ các phiên bản độc hại (phiên bản mới nhất hiện có trên npm là 4.0.10), đây rõ ràng là một cuộc tấn công có chủ đích. Veracode cũng xác định một package khác 8jfiesaf83 (hiện đã bị xóa) có chức năng tương tự.

Phân tích sâu hơn một phiên bản độc hại cho thấy, script postinstall sẽ tải về một tệp nhị phân tên “harness” từ một tài khoản GitHub (hiện đã bị xóa). “harness” thực chất là một shell script đã bị obfuscated, đáng chú ý là nó chứa một cơ chế kiểm tra thời gian để ngừng thực thi sau ngày 06/11/2025 (UTC).

Script này tiếp tục chạy một tệp JavaScript tên “verify.js”, có nhiệm vụ kiểm tra sự hiện diện của các biến môi trường GITHUB_ (các biến được thiết lập trong workflow của GitHub Actions). Dữ liệu thu thập được (chủ yếu là token) sẽ được mã hóa và trích xuất đến một tệp tin văn bản được lưu trữ trên subdomain app.github[.]dev.

Veracode kết luận: “Malware này chỉ nhắm mục tiêu vào các repository thuộc sở hữu của tổ chức GitHub, biến đây thành một cuộc tấn công có chủ đích nhắm vào GitHub.”