Recenti ricerche nel campo della sicurezza informatica hanno scoperto la presenza di pacchetti malevoli nel registro npm, progettati per impersonare lo strumento Hardhat della Nomic Foundation. Questo attacco è stato elaborato per sottrarre dati sensibili dai sistemi degli sviluppatori. Gli attaccanti, sfruttando la fiducia nei plugin open source, sono riusciti a infiltrarsi attraverso pacchetti npm malevoli, esfiltrando dati critici come chiavi private, mnemoniche e dettagli di configurazione. Lo strumento Hardhat è un ambiente di sviluppo per software Ethereum, utilizzato per modificare, compilare, eseguire il debug e distribuire contratti smart e applicazioni decentralizzate.

Pacchetti identificati

Tra i pacchetti identificati, uno in particolare, "@nomicsfoundation/sdk-test", ha registrato 1.092 download ed è stato pubblicato oltre un anno fa. Questi pacchetti, una volta installati, raccolgono frasi mnemoniche e chiavi private dall'ambiente Hardhat, per poi inviarle a un server controllato dagli attaccanti. L'attacco inizia quando i pacchetti compromessi vengono installati, sfruttando l'ambiente di runtime Hardhat per raccogliere dettagli sensibili come chiavi private e file di configurazione, che vengono poi trasmessi a endpoint controllati dagli attaccanti tramite chiavi e indirizzi Ethereum codificati.

Altri pacchetti malevoli

Questa rivelazione arriva poco dopo la scoperta di un altro pacchetto npm malevolo chiamato "ethereumvulncontracthandler". Questo pacchetto, spacciandosi per una libreria per il rilevamento delle vulnerabilità nei contratti smart Ethereum, nasconde in realtà la funzionalità per distribuire il malware Quasar RAT. Recentemente, è stato osservato l'uso di pacchetti npm malevoli che utilizzano contratti smart Ethereum per distribuire indirizzi server di comando e controllo, inserendo macchine infette in una botnet alimentata dalla blockchain chiamata MisakaNetwork. Questa campagna è stata ricondotta a un attore minaccia di lingua russa noto come "_lain".

Complessità dell'ecosistema npm

L'attore della minaccia ha evidenziato la complessità intrinseca nell'ecosistema npm, dove i pacchetti spesso dipendono da numerose dipendenze, creando una struttura complessa simile a una "matrioska". Questo rende difficili le revisioni di sicurezza complete e apre opportunità per gli attaccanti di introdurre codice malevolo. "_lain" ammette di sfruttare questa complessità e dipendenza nell'ecosistema npm, sapendo che è impraticabile per gli sviluppatori esaminare ogni singolo pacchetto e dipendenza.

Altre false librerie scoperte

Un altro set di librerie false è stato scoperto negli ecosistemi npm, PyPI e RubyGems, utilizzando strumenti di test di sicurezza delle applicazioni fuori banda per esfiltrare dati sensibili a server controllati dagli attaccanti. Per mitigare i rischi della catena di fornitura posti da tali pacchetti, si raccomanda agli sviluppatori di software di verificare l'autenticità dei pacchetti, prestare attenzione nella digitazione dei nomi dei pacchetti e ispezionare il codice sorgente prima dell'installazione.