Nel mondo della sicurezza informatica, le minacce si evolvono costantemente, e una recente scoperta mette in luce una nuova minaccia che sfrutta la piattaforma npm. Gli esperti di sicurezza hanno individuato un pacchetto malevolo su npm che si presenta come un'utilità per la rilevazione di vulnerabilità nei contratti smart di Ethereum. Tuttavia, questo pacchetto nasconde un trojan di accesso remoto open-source noto come Quasar RAT.

Il pacchetto incriminato, denominato "ethereumvulncontracthandler," è stato caricato su npm il 18 dicembre 2024 da un utente con l'alias "solidit-dev-416." Fino ad oggi, è stato scaricato 66 volte. Una volta installato, il pacchetto recupera uno script malevolo da un server remoto, eseguendolo in silenzio per distribuire il RAT sui sistemi Windows.

Il codice malevolo è pesantemente offuscato, utilizzando tecniche come il Base64 e la codifica XOR, insieme alla minimizzazione del codice, per resistere alle analisi e alle rilevazioni. Questo malware effettua controlli per evitare di essere eseguito in ambienti di sandbox, prima di fungere da caricatore per un payload di seconda fase, recuperato da un server remoto. Lo script è progettato per eseguire comandi PowerShell per avviare l'esecuzione di Quasar RAT.

Questo trojan di accesso remoto stabilisce la persistenza tramite modifiche al Registro di Windows e contatta un server di comando e controllo per ricevere ulteriori istruzioni che gli permettono di raccogliere ed esfiltrare informazioni. Quasar RAT, rilasciato pubblicamente su GitHub nel luglio 2014, è stato utilizzato sia per la criminalità informatica che per campagne di spionaggio informatico da vari attori nel corso degli anni.

Problema dei "fake stars" su GitHub

Parallelamente, è emerso un altro problema nel mondo della sicurezza informatica: l'aumento dei "fake stars" su GitHub, utilizzati per gonfiare artificialmente la popolarità di repository contenenti malware. Questo fenomeno è stato studiato da Socket in collaborazione con ricercatori universitari, rivelando che la maggior parte dei fake stars vengono utilizzati per promuovere repository di malware di breve durata, mascherati da software di pirateria, cheat di giochi e bot di criptovaluta.

Questo mercato nero aperto è sospettato di essere dietro circa 4.5 milioni di fake stars provenienti da 1.32 milioni di account e distribuiti su 22,915 repository, illustrando la portata del problema. Anche se alcuni repository con campagne di fake stars vengono pubblicati su registri di pacchetti come npm e PyPI, pochi di essi vengono ampiamente adottati.

Questi sviluppi sottolineano che la quantità di stelle su GitHub non è un indicatore affidabile della qualità o della reputazione di un repository e non dovrebbe essere utilizzata senza ulteriori revisioni. Microsoft, proprietaria di GitHub, ha dichiarato di essere a conoscenza del problema da anni e di lavorare attivamente per rimuovere gli account falsi.