Login Sign Up
Advert
Your ad spot
Reserve this exclusive slot for the selected period.
Buy advertising →
Telegram community logo - CyberSecureFox
Added 06 Jan 2025

CyberSecureFox

@cybersecurefox
Number of subscribers: 112
Photos: 18
Links: 1,800
Description:
🦊 Цифровий щит у світі кібербезпеки 🔍 Актуальні загрози та стратегії захисту 🧠 Етичний хакінг, інструменти, інсайди 🚀 Приєднуйтесь, щоб бути в курсі і зробити наш цифровий світ безпечним Зворотній зв'язок: @CyberSecureF0x1 🌐 cybersecurefox.com
Source

CyberSecureFox | Натрапив на цікаву історію з npm: пакет acitons/artifact маскувався пі...

Telegram community logo - CyberSecureFox CyberSecureFox @cybersecurefox
15 Views/Reach 2025-11-17 18:47 Message №1255
🧩 Натрапив на цікаву історію з npm: пакет acitons/artifact маскувався під actions/artifact. Спойлер: це був контрольований експеримент Red Team від GitHub.Пакет з’явився 29 жовтня і зібрав 47 405 завантажень — класичний typosquatting: одна літера у scope, і ти вже тягнеш не те, що треба 🔎. У шкідливих 4.0.12–4.0.17 спрацьовував postinstall, що підтягав обфускований скрипт із «таймером» до 6 листопада 2025 — вміло й непомітно.Далі verify.js шукав раннери GitHub Actions (GITHUB_*) і зливав тимчасові токени на піддомен app.github.dev з фільтром за власником репо — тобто це був таргетований сценарій 🔐. GitHub каже, що це контрольовані навчання, але майже 50 тис. установок у публічному реєстрі змушують замислитись про межі реалізму 🧪.Що роблю я: фіксую версії (lockfile, npm ci), у CI ставлю npm install --ignore-scripts і даю мінімальні права GITHUBTOKEN 🛡️. Плюс allowlist namespace’ів і звичка двічі читати назви пакетів — бо помилка тут дорога_. А ви б дозволили такі тренування у публічних реєстрах?🔗 Докладніше:https://cybersecurefox.com/uk/typosquatting-npm-github-actions-red-team#безпека #supplychain #devops #githubactions #npm #redteamCyberSecureFox