江苏
关键词
网络攻击
网络安全公司 Veracode 在最新的研究报告中披露,一款伪造的 npm 软件包疑似用于窃取 GitHub 凭证,其下载量一度超过 20 万次,引发安全圈广泛关注。然而,在事件曝光后,GitHub 随即澄清,这并非真实攻击,而是其内部红队(Red Team)的一次安全演练。
事件起源于 11 月 7 日,Veracode 的威胁情报团队在 npm 平台上发现一个名为“@acitons/artifact”的恶意包。这个名字与 GitHub 官方的“@actions/artifact”极为相似,显然是利用了“typosquatting”(拼写劫持)策略——攻击者通过注册与合法组件名称极为接近的包名,诱导开发者误装,从而执行恶意代码。该包在被下架前,累计下载次数高达 206,000 次。
Veracode 的分析显示,这个伪造包包含一个“post-install”钩子脚本,会在安装后自动下载并执行恶意载荷,试图窃取 GitHub Actions 环境中的访问令牌。这类令牌相当于暂时的访问密钥,允许程序在构建流程中访问 GitHub 的代码库与制品仓库。研究人员指出,该包会检测其所在的代码库归属,并在发现并非 GitHub 官方仓库时自动退出执行,显示出攻击行为具有极高的针对性。
初步研判认为,这可能是一场旨在入侵 GitHub 内部系统的供应链攻击。由于 npm 是全球最大的 JavaScript 代码包管理平台,任何在此发布的恶意组件都可能影响数百万开发者。更令人担忧的是,Veracode 提到,当他们发现该包时,主流防毒引擎尚未识别出其威胁。恶意代码还设定了一个自动失效时间——到 2025 年 11 月 6 日后将停止运行,这种“自毁式”设计通常用于规避溯源。
然而,事情在 11 月 11 日出现反转。GitHub 向安全媒体 Hackread.com 证实,这些 npm 包实际上是其内部红队的一次受控测试,用于验证安全检测与响应系统的有效性。GitHub 发言人表示:“这些软件包是 GitHub 红队在严格控制下开展的演练的一部分,旨在评估我们针对真实威胁行为的防御能力。整个过程中,GitHub 的系统与数据始终未处于风险之中。”
Veracode 随后也更新了其博客,注明该事件并非外部攻击。此次澄清说明了 GitHub 在主动安全测试上的高投入,也揭示出当前软件供应链安全的复杂性。
虽然最终证明并非真实入侵,但这一事件仍然警醒业界:供应链攻击已成为软件安全的关键威胁之一。OWASP 在 2025 年版风险排行榜(RC1)中已将其列入前十。即便是一场内部演练,也足以说明大型开发平台正将防范“依赖污染”“组件劫持”等新型攻击方式视为重中之重。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
