Le package « @acitons/artifact » typosquatté ciblait les flux de travail CI/CD de GitHub, volant des jetons et publiant des artefacts malveillants sous le propre nom de GitHub.
Un package npm malveillant nommé « @acitons/artifact » a été trouvé usurpant l’identité du module légitime « @actions/artifact », ciblant directement les pipelines CI/CD dans les workflows GitHub Actions.
Selon les conclusions de Veracode, le package a été téléchargé le 7 novembre et a été conçu pour se déclencher pendant le processus de construction des référentiels appartenant à GitHub. Une fois exécutée dans un exécuteur CI/CD, la charge utile capture tous les jetons disponibles pour cet environnement de construction, puis utilise ces informations d’identification pour publier des artefacts malveillants, usurpant ainsi l’identité de GitHub lui-même.
« Cet incident ne concerne pas seulement un package NPM malveillant, il concerne la confiance aveugle que de nombreuses organisations accordent à la chaîne d’approvisionnement moderne », a déclaré Randolph Barr, RSSI chez Cequence Security. « La plupart des organisations concentrent leurs contrôles sur les environnements d’exécution, mais le pipeline CI/CD s’exécute souvent avec des privilèges plus élevés que n’importe quel développeur. Une seule dépendance typosquattée peut exécuter silencieusement du code pendant une construction, accéder aux jetons du référentiel et usurper l’identité d’une organisation, tout comme cette attaque a tenté de le faire avec les propres référentiels de GitHub. «
Le package malveillant a enregistré plus de 260 000 téléchargements avant d’être détecté, et un total de six versions ont été téléchargées – aucune n’est détectable par « aucun produit antivirus populaire », ont noté les chercheurs de Veracode dans un article de blog.
Détournement du processus de création des actions GitHub
En apparence, le package @acitons/artifact semblait normal avec ses métadonnées le décrivant comme « actionsartefact lib », et ses URL de page d’accueil et de référentiel reflétant étroitement celles du projet GitHub légitime. Mais intégré à l’intérieur se trouvait un hook post-installation qui téléchargeait et exécutait un script shell obscurci nommé « harnais ».
L’analyse de Veracode a montré que ce script, compilé avec un outil de compilation de scripts shell, contenait un kill switch temporel configuré pour se désactiver après le 6 novembre 2025, susceptible d’échapper à la détection après une brève fenêtre active. Une fois invoqué, le harnais récupèrerait un fichier JavaScript (« verify.js » destiné à vérifier si l’environnement de construction appartenait à GitHub et, si tel est le cas, exfiltrerait les jetons d’action GitHub. Ces jetons pourraient ensuite être utilisés à mauvais escient pour usurper l’identité de GitHub et publier des versions malveillantes.
« Le typosquattage est un vecteur de menace bien connu et croissant dans les chaînes d’approvisionnement logicielles, dans lequel les attaquants publient des packages portant des noms similaires à ceux légitimes, puis attendent qu’une erreur se produise, amenant la victime vers leur référentiel pour installer du code malveillant par erreur », a expliqué Boris Cipot, ingénieur senior en sécurité chez Black Duck. « Cette stratégie d’attaque est conçue pour exploiter les fautes de frappe et tirer parti de la nature automatisée des pipelines CI/CD. »
Cipot a ajouté que l’utilisation d’un hook post-installation et d’une charge utile obscurcie de courte durée montre une tentative délibérée de se fondre dans l’activité de construction normale.
Leçons de défense
Barr a souligné que les privilèges plus élevés dans les pipelines CI/CD en font une cible idéale. Les attaquants qui compromettent un exécuteur de build peuvent injecter du code à la source, signer des versions avec des informations d’identification légitimes ou pousser des artefacts d’apparence authentique.
Les atténuations, a recommandé Cipot, incluraient des jetons de courte durée et de portée avec des rotations secrètes régulières. L’analyse automatisée des packages suspects à l’aide d’outils tels que Socket.dev ou Phylum peut également aider à garder une longueur d’avance sur la menace. D’autres moyens de vérifier l’authenticité des packages incluent la validation de la somme de contrôle et les normes émergentes telles que Sigstore, a-t-il ajouté.
Jason Soroko, chercheur principal chez Sectigo, conseille une réponse immédiate aux équipes potentiellement touchées. « Recherchez le code source, les fichiers de verrouillage, les caches et les registres pour @acitons et 8jfiesaf83, puis mettez en quarantaine tous les coureurs qui les ont récupérés », a-t-il déclaré. « Faites pivoter tous les jetons et examinez les artefacts et l’historique de publication des packages pour la période du 29 octobre au 6 novembre 2025. »
