Pacotes npm maliciosos publicados por meio de fluxo de trabalho do GitHub Actions comprometido
Um fluxo de trabalho malicioso do GitHub Actions exfiltrou um token npm com amplas permissões de publicação de um repositório compartilhado, levando à publicação de versões maliciosas de 20 pacotes, incluindo o popular @ctrl/tinycolor. Embora a conta e o repositório do GitHub do autor não tenham sido comprometidos diretamente, um colaborador com acesso de administrador a um repositório compartilhado permitiu o sucesso do ataque. Os invasores exploraram um segredo do GitHub Actions contendo o token npm. As equipes de segurança do GitHub e do npm responderam rapidamente, despublicando os pacotes maliciosos. O autor lançou versões limpas para limpar os caches. O incidente destaca os riscos de repositórios compartilhados e tokens estáticos, incentivando uma mudança para o Trusted Publishing (OIDC) do npm para segurança aprimorada.
Leia mais