Los investigadores de ciberseguridad han descubierto un paquete npm malicioso llamado "@acitons /artifact" que cometía errores tipográficos con lo legítimo» @actions /artefacto «paquete con la intención de apuntar a los repositorios propiedad de GitHub.
«Creemos que la intención era ejecutar este script durante la creación de un repositorio propiedad de GitHub, filtrar los tokens disponibles en el entorno de compilación y luego usar esos tokens para publicar nuevos artefactos maliciosos como GitHub», dijo Veracode dijo en un análisis.
La empresa de ciberseguridad dijo que observó seis versiones del paquete, de la 4.0.12 a la 4.0.17, que incorporaban un enlace posterior a la instalación para descargar y ejecutar malware. Dicho esto, ¿la última versión disponible para descargar de npm es 4.0.10, lo que indica que el actor de la amenaza detrás del paquete, blakesdev , ha eliminado todas las versiones infractoras.
El paquete se subió por primera vez el 29 de octubre de 2025 y desde entonces ha acumulado 31.398 descargas semanales. En total, ha sido descargado 47,405 veces , según datos de npm-stat. Veracode también dijo que identificó otro paquete npm llamado «8jfiesaf83" con una funcionalidad similar. Ya no está disponible para descargar, pero parece que sí descargado 1.016 veces .
Un análisis más detallado de una de las versiones maliciosas del paquete ha revelado que el script posterior a la instalación está configurado para descargar un binario llamado «harness» de un archivo ya eliminado Cuenta de GitHub . El binario es un script de shell ofuscado que incluye una comprobación para evitar la ejecución si es posterior al 06-11-06 UTC.
También está diseñado para ejecutar un archivo JavaScript llamado "verify.js" que comprueba la presencia de ciertas variables de GITHUB_ que se configuran como parte de un flujo de trabajo de GitHub Actions y filtra los datos recopilados en formato cifrado a un archivo de texto alojado en el subdominio «app.github [.] dev».
«El malware solo tenía como objetivo los repositorios propiedad de la organización GitHub, lo que lo convertía en un ataque dirigido contra GitHub», dijo Veracode. «La campaña parece estar dirigida a los propios repositorios de GitHub, así como a un usuario y8793hfiuashfjksdhfjsk que existe pero no tiene actividad pública. Esta cuenta de usuario podría ser para probarla».