Bösartige npm-Pakete über kompromittierten GitHub Actions Workflow veröffentlicht
Ein bösartiger GitHub Actions Workflow hat einen npm-Token mit umfassenden Veröffentlichungsrechten aus einem gemeinsam genutzten Repository extrahiert, was zur Veröffentlichung bösartiger Versionen von 20 Paketen führte, darunter das beliebte @ctrl/tinycolor. Obwohl das GitHub-Konto und das Repository des Autors nicht direkt kompromittiert wurden, ermöglichte ein Mitarbeiter mit Administratorzugriff auf ein gemeinsam genutztes Repository den Angriff. Die Angreifer nutzten ein GitHub Actions Secret, das den npm-Token enthielt. Die GitHub- und npm-Sicherheitsteams reagierten schnell und veröffentlichten die bösartigen Pakete wieder. Der Autor veröffentlichte saubere Versionen, um Caches zu leeren. Der Vorfall unterstreicht die Risiken gemeinsam genutzter Repositories und statischer Token und fördert die Umstellung auf npm's Trusted Publishing (OIDC) für verbesserte Sicherheit.