恶意npm包潜入GitHub Actions构建流程
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
发现恶意npm包“@acitons/artifact”,伪装成合法的“@actions/artifact”,专门针对GitHub Actions,已下载超26万次。该包在CI/CD管道中窃取令牌并发布恶意构件。专家建议使用短期令牌并定期更换密钥以防范此类攻击。
🎯
关键要点
- 发现恶意npm包'@acitons/artifact',伪装成合法的'@actions/artifact',专门针对GitHub Actions。
- 该恶意包已下载超过26万次,设计用于在CI/CD管道中窃取令牌并发布恶意构件。
- 专家建议使用短期令牌并定期更换密钥以防范此类攻击。
- 恶意包在被发现前已上传六个版本,且未被任何流行杀毒软件检测到。
- 该包内部嵌入了一个安装后钩子,用于下载并执行混淆的shell脚本。
- 攻击者利用拼写错误和CI/CD管道的自动化特性进行攻击。
- 建议使用Socket.dev或Phylum等工具自动扫描可疑软件包以提前防范威胁。
- 可能受影响的团队应立即采取应对措施,包括搜索和隔离受影响的运行器。
➡️
