CyberSecureFox | Натрапив на цікаву історію з npm: пакет acitons/artifact маскувався пі...

🧩 Натрапив на цікаву історію з npm: пакет acitons/artifact маскувався під actions/artifact. Спойлер: це був контрольований експеримент Red Team від GitHub.Пакет з’явився 29 жовтня і зібрав 47 405 завантажень — класичний typosquatting: одна літера у scope, і ти вже тягнеш не те, що треба 🔎. У шкідливих 4.0.12–4.0.17 спрацьовував postinstall, що підтягав обфускований скрипт із «таймером» до 6 листопада 2025 — вміло й непомітно.Далі verify.js шукав раннери GitHub Actions (GITHUB_*) і зливав тимчасові токени на піддомен app.github.dev з фільтром за власником репо — тобто це був таргетований сценарій 🔐. GitHub каже, що це контрольовані навчання, але майже 50 тис. установок у публічному реєстрі змушують замислитись про межі реалізму 🧪.Що роблю я: фіксую версії (lockfile, npm ci), у CI ставлю npm install --ignore-scripts і даю мінімальні права GITHUBTOKEN 🛡️. Плюс allowlist namespace’ів і звичка двічі читати назви пакетів — бо помилка тут дорога_. А ви б дозволили такі тренування у публічних реєстрах?🔗 Докладніше:https://cybersecurefox.com/uk/typosquatting-npm-github-actions-red-team#безпека #supplychain #devops #githubactions #npm #redteamCyberSecureFox