Descubren un paquete npm malicioso que suplanta a @actions/artifact para robar tokens en GitHub

Introducción

En las últimas semanas, investigadores de ciberseguridad han identificado un nuevo vector de ataque dirigido a desarrolladores y organizaciones que utilizan GitHub Actions en sus flujos CI/CD. Se trata de un paquete npm malicioso denominado «@acitons/artifact», diseñado específicamente para suplantar al legítimo «@actions/artifact». La intención detrás de esta campaña es comprometer repositorios de alto perfil de GitHub, exfiltrar credenciales de acceso y, potencialmente, facilitar la toma de control o distribución de código malicioso a gran escala.

Contexto del Incidente

El ecosistema de npm ha sido frecuentemente objeto de campañas de typosquatting, donde actores maliciosos suben paquetes con nombres muy similares a los oficiales —a menudo con errores tipográficos menores— con la esperanza de que los desarrolladores, por descuido, los incluyan en sus proyectos. En este caso, «@acitons/artifact» imita al ampliamente utilizado «@actions/artifact», un paquete esencial en numerosas cadenas de CI/CD para la gestión de artefactos. La amenaza se agrava porque el supuesto objetivo son repositorios bajo la propiedad de GitHub, lo que podría amplificar el alcance del ataque y sus consecuencias.

Detalles Técnicos

El paquete malicioso «@acitons/artifact» fue detectado en el registro oficial de npm. El análisis revela que contiene scripts diseñados para ejecutarse durante el proceso de build en entornos de GitHub Actions. Su propósito principal es buscar y exfiltrar los tokens de acceso proporcionados por GitHub a los workflows de CI/CD, como los secretos de GITHUB_TOKEN o PAT (Personal Access Token), que otorgan permisos para acceder, modificar y desplegar código en los repositorios asociados.

Aunque no se ha asignado aún un CVE específico a este paquete, la táctica empleada se alinea con la técnica de typosquatting (T1584.001 según MITRE ATT&CK: Supply Chain Compromise). El vector de ataque se activa en el pipeline de CI/CD, aprovechando la ejecución automática de dependencias definidas en el package.json. Los indicadores de compromiso (IoC) incluyen la presencia del paquete «@acitons/artifact» en el archivo de dependencias, conexiones salientes anómalas durante los builds y la exfiltración de variables de entorno sensibles.

Se han observado intentos de explotación automatizados mediante bots para escanear y crear pull requests en repositorios populares, modificando archivos de configuración para incluir el paquete fraudulento. Herramientas como Metasploit y Cobalt Strike no han sido identificadas en esta campaña concreta, pero el modus operandi podría facilitar su uso en fases posteriores del ataque.

Impacto y Riesgos

El impacto potencial de esta amenaza es considerable. Si un repositorio de GitHub propiedad de una organización relevante llegase a incluir accidentalmente el paquete malicioso, los atacantes obtendrían acceso inmediato a los tokens del entorno de build. Esto les permitiría clonar código privado, insertar backdoors, acceder a secretos adicionales y desplegar versiones alteradas de software, lo que podría comprometer la cadena de suministro de software (Supply Chain Attack) y afectar a miles de usuarios finales.

El riesgo se multiplica en contextos donde los tokens tienen permisos excesivos —una mala práctica aún frecuente—, lo que habilita a los atacantes a publicar paquetes en repositorios npm, modificar releases o incluso borrar repositorios enteros. Según datos recientes, cerca del 12% de los proyectos públicos en GitHub Actions utilizan dependencias no fijadas por versión, incrementando el riesgo de introducir paquetes fraudulentos.

Medidas de Mitigación y Recomendaciones

Para mitigar este tipo de amenazas, se recomienda a las organizaciones y equipos de desarrollo:

– Revisar cuidadosamente los nombres de los paquetes antes de agregarlos como dependencia.
– Utilizar herramientas automatizadas de análisis de dependencias (Dependabot, Snyk, npm audit) para identificar paquetes potencialmente maliciosos.
– Fijar las versiones de las dependencias y evitar el uso de wildcards en package.json.
– Limitar los permisos de los tokens utilizados en los pipelines de CI/CD siguiendo el principio de mínimo privilegio.
– Monitorizar logs de builds en busca de conexiones salientes o exfiltración de variables de entorno.
– Implementar políticas de revisión de pull requests estrictas, especialmente en repositorios críticos o públicos.

Opinión de Expertos

Diversos especialistas en ciberseguridad, como los equipos de npm y GitHub Security Lab, han enfatizado la importancia de la «higiene de dependencias» y la necesidad de educar a los desarrolladores sobre los riesgos asociados al typosquatting. “El Supply Chain Security sigue siendo uno de los retos más críticos de la industria, especialmente con la proliferación de automatización en CI/CD”, señala Pablo Rodríguez, analista de amenazas en una consultora europea. Añade que “la verificación manual y el uso de herramientas de detección temprana son medidas imprescindibles”.

Implicaciones para Empresas y Usuarios

Las empresas que dependen de pipelines automatizados y despliegan software de manera continua deben considerar este incidente como un recordatorio urgente para reforzar la seguridad de su cadena de suministro. El cumplimiento de normativas como el GDPR o la futura NIS2 implica asegurar la integridad y trazabilidad del software distribuido, así como la protección de datos personales y confidenciales. Un error en la gestión de dependencias podría derivar en brechas de seguridad con consecuencias económicas y legales significativas.

Conclusiones

Este nuevo caso de typosquatting en npm subraya la vulnerabilidad inherente al uso de dependencias de terceros sin la debida verificación. Las amenazas a la cadena de suministro de software continúan creciendo en sofisticación y alcance, poniendo en jaque la seguridad tanto de desarrolladores individuales como de grandes organizaciones. La vigilancia proactiva, la revisión rigurosa de dependencias y la implementación de controles de seguridad en CI/CD son imprescindibles para mitigar riesgos y salvaguardar la integridad del software distribuido.

(Fuente: feeds.feedburner.com)