【安全圈】GitHub 紅隊演練引發誤報：偽造 npm 包“攻擊”實為內部安全測試

關鍵詞

網絡攻擊

網絡安全公司 Veracode 在最新的研究報告中披露，一款偽造的 npm 軟件包疑似用于竊取 GitHub 憑證，其下載量一度超過 20 萬次，引發安全圈廣泛關注。然而，在事件曝光后，GitHub 隨即澄清，這并非真實攻擊，而是其內部紅隊（Red Team）的一次安全演練。

事件起源于 11 月 7 日，Veracode 的威脅情報團隊在 npm 平臺上發現一個名為“@acitons/artifact”的惡意包。這個名字與 GitHub 官方的“@actions/artifact”極為相似，顯然是利用了“typosquatting”（拼寫劫持）策略——攻擊者通過注冊與合法組件名稱極為接近的包名，誘導開發者誤裝，從而執行惡意代碼。該包在被下架前，累計下載次數高達 206,000 次。

Veracode 的分析顯示，這個偽造包包含一個“post-install”鉤子腳本，會在安裝后自動下載并執行惡意載荷，試圖竊取 GitHub Actions 環境中的訪問令牌。這類令牌相當于暫時的訪問密鑰，允許程序在構建流程中訪問 GitHub 的代碼庫與制品倉庫。研究人員指出，該包會檢測其所在的代碼庫歸屬，并在發現并非 GitHub 官方倉庫時自動退出執行，顯示出攻擊行為具有極高的針對性。

初步研判認為，這可能是一場旨在入侵 GitHub 內部系統的供應鏈攻擊。由于 npm 是全球最大的 JavaScript 代碼包管理平臺，任何在此發布的惡意組件都可能影響數百萬開發者。更令人擔憂的是，Veracode 提到，當他們發現該包時，主流防毒引擎尚未識別出其威脅。惡意代碼還設定了一個自動失效時間——到 2025 年 11 月 6 日后將停止運行，這種“自毀式”設計通常用于規避溯源。

然而，事情在 11 月 11 日出現反轉。GitHub 向安全媒體 Hackread.com 證實，這些 npm 包實際上是其內部紅隊的一次受控測試，用于驗證安全檢測與響應系統的有效性。GitHub 發言人表示：“這些軟件包是 GitHub 紅隊在嚴格控制下開展的演練的一部分，旨在評估我們針對真實威脅行為的防御能力。整個過程中，GitHub 的系統與數據始終未處于風險之中。”

Veracode 隨后也更新了其博客，注明該事件并非外部攻擊。此次澄清說明了 GitHub 在主動安全測試上的高投入，也揭示出當前軟件供應鏈安全的復雜性。

雖然最終證明并非真實入侵，但這一事件仍然警醒業界：供應鏈攻擊已成為軟件安全的關鍵威脅之一。OWASP 在 2025 年版風險排行榜（RC1）中已將其列入前十。即便是一場內部演練，也足以說明大型開發平臺正將防范“依賴污染”“組件劫持”等新型攻擊方式視為重中之重。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！