Siber güvenlik araştırmacıları, GitHub’a ait depoları hedeflemek amacıyla meşru “@actions/artifact” paketinde yazım hatası yapan “@acitons/artifact” adlı kötü amaçlı bir npm paketi keşfetti.
Veracode, bir analizde şunları söyledi: “Amacımız, bu betiğin GitHub’a ait bir deponun oluşturulması sırasında yürütülmesini sağlamak, derleme ortamındaki mevcut tokenları sızdırmak ve daha sonra bu tokenleri yeni kötü amaçlı yapıları GitHub olarak yayınlamak için kullanmaktı.”
Siber güvenlik şirketi, paketin 4.0.12’den 4.0.17’ye kadar kötü amaçlı yazılımları indirmek ve çalıştırmak için bir kurulum sonrası kanca içeren altı sürümünü gözlemlediğini söyledi. Bununla birlikte, npm’den indirilebilecek en son sürüm 4.0.10’dur; bu da paketin arkasındaki tehdit aktörü blakesdev’in rahatsız edici tüm sürümleri kaldırdığını gösterir.
Paket ilk olarak 29 Ekim 2025’te yüklendi ve o zamandan beri haftalık 31.398 indirme sayısına ulaştı. Npm-stat verilerine göre toplamda 47.405 kez indirildi. Veracode ayrıca benzer işlevlere sahip “8jfiesaf83” adlı başka bir npm paketi tanımladığını da söyledi. Artık indirilemiyor ancak 1.016 kez indirildiği görülüyor.
Paketin kötü amaçlı sürümlerinden birinin daha ayrıntılı analizi, kurulum sonrası komut dosyasının artık kaldırılmış bir GitHub hesabından “kablo demeti” adlı bir ikili dosyayı indirecek şekilde yapılandırıldığını ortaya çıkardı. İkili dosya, saatin 2025-11-06 UTC’den sonra olması durumunda yürütmeyi önleyen bir kontrol içeren, gizlenmiş bir kabuk komut dosyasıdır.
Ayrıca, GitHub Eylemleri iş akışının bir parçası olarak ayarlanan belirli GITHUB_ değişkenlerinin varlığını kontrol eden ve toplanan verileri şifrelenmiş biçimde “app.github”da barındırılan bir metin dosyasına aktaran “verify.js” adlı bir JavaScript dosyasını çalıştırmak üzere tasarlanmıştır.[.]dev” alt alan adıdır.
Veracode, “Kötü amaçlı yazılım yalnızca GitHub kuruluşunun sahip olduğu depoları hedef alıyordu, bu da bunu GitHub’a yönelik hedefli bir saldırı haline getiriyordu” dedi. “Kampanya, GitHub’ın kendi depolarının yanı sıra mevcut ancak halka açık etkinliği olmayan bir y8793hfiuashfjksdhfjsk kullanıcısını da hedef alıyor gibi görünüyor. Bu kullanıcı hesabı test amaçlı olabilir.”