Investigadores de ciberseguridad han descubierto un paquete npm malicioso llamado «@acitons/artifact» que escribe el legítimo «@acciones/artefacto«paquete con la intención de apuntar a repositorios propiedad de GitHub.
«Creemos que la intención era ejecutar este script durante la compilación de un repositorio propiedad de GitHub, filtrar los tokens disponibles en el entorno de compilación y luego usar esos tokens para publicar nuevos artefactos maliciosos como GitHub», Veracode dicho en un análisis.
La empresa de ciberseguridad dijo que observó seis versiones del paquete, desde la 4.0.12 hasta la 4.0.17, que incorporaban un gancho posterior a la instalación para descargar y ejecutar malware. Dicho esto, la última versión. disponible para descargar de npm es 4.0.10, lo que indica que el actor de amenazas detrás del paquete, blakesdevha eliminado todas las versiones ofensivas.
El paquete se cargó por primera vez el 29 de octubre de 2025 y desde entonces ha acumulado 31.398 descargas semanales. En total ha sido descargado 47,405 vecessegún datos de npm-stat. Veracode también dijo que identificó otro paquete npm llamado «8jfiesaf83» con una funcionalidad similar. Ya no está disponible para descargar, pero parece haber sido descargado 1.016 veces.
Un análisis más detallado de una de las versiones maliciosas del paquete ha revelado que el script de postinstalación está configurado para descargar un binario llamado «harness» desde un archivo ahora eliminado. cuenta GitHub. El binario es un script de shell ofuscado que incluye una verificación para evitar la ejecución si la hora es posterior al 2025-11-06 UTC.
También está diseñado para ejecutar un archivo JavaScript llamado «verify.js» que verifica la presencia de ciertas variables GITHUB_ que se configuran como parte de un flujo de trabajo de GitHub Actions y filtra los datos recopilados en formato cifrado a un archivo de texto alojado en «app.github».[.]subdominio dev».
«El malware sólo tenía como objetivo repositorios propiedad de la organización GitHub, lo que lo convierte en un ataque dirigido contra GitHub», dijo Veracode. «La campaña parece estar dirigida a los propios repositorios de GitHub, así como a un usuario y8793hfiuashfjksdhfjsk que existe pero no tiene actividad pública. Esta cuenta de usuario podría ser para pruebas».
Fuente