恶意npm包潜入GitHub Actions构建流程
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
发现恶意npm包“@acitons/artifact”,伪装成合法的“@actions/artifact”,专门针对GitHub Actions,已下载超26万次。该包在CI/CD管道中窃取令牌并发布恶意构件。专家建议使用短期令牌并定期更换密钥以防范此类攻击。
🎯
关键要点
-
发现恶意npm包'@acitons/artifact',伪装成合法的'@actions/artifact',专门针对GitHub Actions。
-
该恶意包已下载超过26万次,设计用于在CI/CD管道中窃取令牌并发布恶意构件。
-
专家建议使用短期令牌并定期更换密钥以防范此类攻击。
-
恶意包在被发现前已上传六个版本,且未被任何流行杀毒软件检测到。
-
该包内部嵌入了一个安装后钩子,用于下载并执行混淆的shell脚本。
-
攻击者利用拼写错误和CI/CD管道的自动化特性进行攻击。
-
建议使用Socket.dev或Phylum等工具自动扫描可疑软件包以提前防范威胁。
-
可能受影响的团队应立即采取应对措施,包括搜索和隔离受影响的运行器。
❓
延伸问答
恶意npm包'@acitons/artifact'是如何工作的?
该包在CI/CD管道中窃取令牌并发布恶意构件,利用拼写错误和自动化特性进行攻击。
如何防范恶意npm包的攻击?
建议使用短期令牌并定期更换密钥,使用工具如Socket.dev或Phylum自动扫描可疑软件包。
恶意包'@acitons/artifact'的下载次数是多少?
该恶意包已下载超过26万次。
攻击者是如何利用拼写错误进行攻击的?
攻击者发布与合法软件包相似的名称,利用用户的拼写错误使其安装恶意代码。
恶意包在被发现前上传了多少个版本?
该恶意包共上传了六个版本。
专家对CI/CD管道的安全性有何看法?
专家指出,CI/CD管道通常拥有比开发者更高的权限,是理想的攻击目标。
➡️
