Packages npm malveillants publiés via un workflow GitHub Actions compromis
Un workflow GitHub Actions malveillant a exfiltré un jeton npm avec des droits de publication étendus à partir d'un référentiel partagé, conduisant à la publication de versions malveillantes de 20 packages, dont le populaire @ctrl/tinycolor. Bien que le compte et le référentiel GitHub de l'auteur n'aient pas été directement compromis, un collaborateur ayant un accès administrateur à un référentiel partagé a permis la réussite de l'attaque. Les attaquants ont exploité un secret GitHub Actions contenant le jeton npm. Les équipes de sécurité GitHub et npm ont réagi rapidement, dépubliant les packages malveillants. L'auteur a publié des versions propres pour effacer les caches. L'incident met en évidence les risques liés aux référentiels partagés et aux jetons statiques, ce qui encourage un passage à la publication approuvée (OIDC) de npm pour une sécurité accrue.