Um pacote npm malicioso chamado “@acitons/artifact” foi encontrado representando o módulo legítimo “@actions/artifact”, visando diretamente os pipelines de CI/CD nos fluxos de trabalho do GitHub Actions.
De acordo com as descobertas do Veracode, o pacote foi carregado em 7 de novembro e foi projetado para ser acionado durante o processo de construção de repositórios de propriedade do GitHub. Uma vez executada dentro de um executor de CI/CD, a carga captura todos os tokens disponíveis para esse ambiente de construção e, em seguida, usa essas credenciais para publicar artefatos maliciosos – representando efetivamente o próprio GitHub.
“Este incidente não se trata apenas de um pacote npm malicioso, trata-se da confiança cega que muitas organizações depositam na cadeia de fornecimento moderna”, disse Randolph Barr, CISO da Cequence Security. “A maioria das organizações concentra seus controles em ambientes de tempo de execução, mas o pipeline de CI/CD geralmente é executado com privilégios mais altos do que qualquer desenvolvedor. Uma única dependência de typosquatted pode executar código silenciosamente durante uma construção, acessar tokens de repositório e personificar uma organização, assim como este ataque tentou fazer com os próprios repositórios do GitHub. “
