Пакет Npm, нацеленный на репозитории GitHub, помечен как упражнение красной команды
13.11.2025
17888
Veracode раскрывает npm пакет "@acitons/artifact", который крадет токены GitHub через скрипты сборки.
Пакет Npm, нацеленный на репозитории GitHub, помечен как упражнение красной команды
🚨 Veracode только что раскрыл вредоносный npm пакет "@acitons/artifact", который напрямую крадет токены GitHub через скрипты сборки. Это не ваша обычная атака на цепочку поставок — она специально нацелена на репозитории, принадлежащие GitHub, и была помечена как упражнение красной команды.
Пакет маскируется под легитимный инструмент артефактов GitHub Actions, но выполняет вредоносный код во время установки для извлечения чувствительных токенов и учетных данных. Исследователи безопасности называют это одной из самых сложных атак на цепочку поставок npm, которые они видели в этом году.
- • Название пакета: @acitons/artifact (обратите внимание на преднамеренную опечатку)
- • Вектор атаки: Выполнение скрипта сборки во время npm install
- • Цель: Репозитории, принадлежащие GitHub, и их токены
- • Обнаружение: Команда разведки угроз Veracode
- • Статус: Помечено как активность упражнения красной команды
Вот именно поэтому вам нужно регулярно проверять ваши зависимости. Пакет был умно разработан, чтобы слиться с легитимными инструментами GitHub, что затрудняет его обнаружение во время обычных проверок безопасности.
Veracode раскрывает npm пакет "@acitons/artifact", который крадет токены GitHub через скрипты сборки.
Открытие подчеркивает растущую сложность атак на цепочку поставок программного обеспечения и критическую необходимость надежных практик управления зависимостями. Если вы используете npm в своем рабочем процессе, дважды проверьте ваши package.json и lock файлы как можно скорее.
#npm пакеты#атаки по цепочке поставок#вредоносное ПО#утечка учетных данных#учетные данные
Есть тема? Пишите ATLA WIRE в Telegram:t.me/atla_community
