简介 

    全球网安事件速递：恶意npm包"@acitons/artifact"伪装成合法组件，下载量已超20万次，专门窃取GitHub令牌以攻击组织代码库，凸显软件供应链安全风险。该包通过安装后钩子执行恶意脚本，针对性检测GitHub组织环境，现已被下架，部分安全服务已实施防护。

核心详情 

    该虚假NPM包利用名称相似性伪装为官方"@actions/artifact"组件，在安装过程中触发后置钩子脚本，自动执行恶意代码以窃取用户的GitHub个人访问令牌。这些令牌可被攻击者用于未经授权访问私有代码仓库、修改项目数据或发起进一步供应链攻击。事件暴露了开源生态中依赖管理的脆弱性，攻击者通过混淆包名和利用自动化工具传播，使得开发者难以识别。安全研究人员通过监控异常下载模式发现此威胁，并协调平台下架，但部分受影响组织需手动清理环境。此类攻击通常针对企业开发团队，利用CI/CD流程中的凭证泄露扩大影响，强调了对第三方依赖进行持续安全审计的必要性。

适用范围  

    适用于使用NPM包管理的软件开发团队、GitHub企业用户、DevOps工程师以及负责软件供应链安全的管理人员，特别是在自动化构建和部署流程中集成第三方组件的场景。

推荐措施 

    1、立即检查项目依赖，使用命令`npm audit`扫描并移除可疑包"@acitons/artifact"，更新GitHub令牌并轮换凭证；

    2、部署软件组成分析工具如Snyk或WhiteSource，定期审查依赖关系，限制包安装权限，并培训团队识别仿冒包。