كشف باحثون في الأمن السيبراني عن حزمة npm خبيثة تُعرف باسم @acitons/artifact تم إنشاؤها لتقليد الحزمة الشرعية @actions/artifact، في محاولة لاستهداف المستودعات التابعة لمنصة GitHub.
وبحسب تحليل أجرته شركة Veracode، فإن الهدف من الهجوم كان تنفيذ سكربت خبيث أثناء عملية بناء المشاريع في مستودعات GitHub المملوكة للشركة، بهدف سرقة الرموز (tokens) من بيئة البناء، واستخدامها لاحقًا لنشر حزم خبيثة جديدة تحت هوية GitHub الرسمية.
تفاصيل الحزمة الخبيثة وآلية عملها
رصد الباحثون ست نسخ من الحزمة – من الإصدار 4.0.12 إلى 4.0.17 – تحتوي جميعها على سكريبت “post-install” مبرمج لتحميل وتشغيل برمجية خبيثة بعد التثبيت.
ومع ذلك، تشير بيانات npm إلى أن أحدث نسخة متاحة حاليًا هي 4.0.10، ما يدل على أن الفاعل المسمى blakesdev قد أزال الإصدارات الضارة.
تم رفع الحزمة في 29 أكتوبر 2025، وسجلت أكثر من 31 ألف تحميل أسبوعي، بإجمالي بلغ 47,405 تحميلات منذ نشرها، وفقًا لبيانات موقع npm-stat.
كما كشفت Veracode عن حزمة أخرى تُدعى 8jfiesaf83 تمتلك وظائف مشابهة، لكنها لم تعد متاحة بعد أن تجاوزت 1,000 تحميل تقريبًا قبل حذفها.
تحميل البرمجية الخبيثة وآلية الاستهداف
أظهر تحليل النسخ الخبيثة أن سكربت “post-install” مبرمج لتنزيل ملف تنفيذي باسم harness من حساب GitHub أُزيل لاحقًا. الملف عبارة عن سكريبت غامض (obfuscated shell script) يحتوي على شرط يمنع تنفيذه بعد تاريخ 6 نوفمبر 2025 بالتوقيت العالمي (UTC).
عند التشغيل، يقوم الملف بتفعيل سكربت آخر يدعى verify.js، مهمته التحقق من وجود متغيرات GITHUB_ المستخدمة في بيئة عمل GitHub Actions، ثم تسريب البيانات المُجمَّعة في صيغة مشفرة إلى ملف نصي مستضاف على نطاق فرعي تابع لـ app.github[.]dev.
هجوم موجه ضد GitHub نفسها
أكدت Veracode أن الحملة كانت موجهة تحديدًا ضد مستودعات GitHub الرسمية، مشيرةً إلى أن المهاجمين ركّزوا على المستودعات التابعة للمؤسسة، بالإضافة إلى حساب يُعرف باسم y8793hfiuashfjksdhfjsk الذي وُجد دون أي نشاط علني، ويرجح أنه كان مخصصًا لاختبار الحملة.
يشير هذا إلى أن الهجوم لم يكن موجّهًا للمستخدمين عمومًا، بل إلى البنية التحتية الداخلية لـ GitHub، في محاولة لاستغلال الثقة في حزمها الرسمية ونشر برمجيات خبيثة متخفية ضمن عمليات البناء الآلية.
