Paquetes npm maliciosos publicados mediante un flujo de trabajo de GitHub Actions comprometido
Un flujo de trabajo malicioso de GitHub Actions exfiltró un token de npm con amplios derechos de publicación desde un repositorio compartido, lo que llevó a la publicación de versiones maliciosas de 20 paquetes, incluido el popular @ctrl/tinycolor. Si bien la cuenta y el repositorio de GitHub del autor no se vieron comprometidos directamente, un colaborador con acceso de administrador a un repositorio compartido permitió que el ataque tuviera éxito. Los atacantes explotaron un secreto de GitHub Actions que contenía el token de npm. Los equipos de seguridad de GitHub y npm respondieron rápidamente, despublicando los paquetes maliciosos. El autor publicó versiones limpias para borrar las cachés. El incidente destaca los riesgos de los repositórios compartidos y los tokens estáticos, lo que impulsa un cambio hacia la publicación confiable (OIDC) de npm para una mayor seguridad.