Furto DeFi da 290M e malware supply chain: Nord Corea e pacchetti npm mettono in crisi la fiducia digitale

Nel bollettino settimanale di cybersecurity emergono schemi che si ripetono e che continuano a funzionare con piccole variazioni. Gli attaccanti sfruttano ancora percorsi noti, errori di configurazione e catene di fiducia deboli, con un impatto che va dai furti in ambito DeFi fino agli abusi di strumenti legittimi su macOS e alle campagne di supply chain malware nei registri di pacchetti.

Uno degli episodi piu rilevanti riguarda un furto di 290 milioni di dollari legato a un progetto DeFi, attribuito con alta probabilita a un gruppo nordcoreano. Il punto chiave non e stato un bug nello smart contract, ma un attacco all infrastruttura off chain. La compromissione di nodi RPC e un attacco DDoS coordinato hanno consentito di fornire dati falsi al sistema di verifica delle transazioni, inducendo il rilascio dei fondi. Questo caso mostra quanto sia rischioso basarsi su un singolo elemento di verifica e quanto sia essenziale progettare ridondanza e controlli incrociati.

Sul fronte vulnerabilita, sono stati osservati exploit attivi di falle RCE e command injection in piattaforme e componenti esposti, inclusi pannelli e servizi di automazione. In diversi scenari, l obiettivo immediato e l installazione di webshell e backdoor persistenti, spesso seguita da payload pronti per il controllo remoto. Il messaggio per aziende e amministratori e chiaro: patch management rapido, riduzione della superficie esposta e monitoraggio dei segnali di compromissione.

Cresce anche il rischio di supply chain attack. Sono stati individuati pacchetti malevoli in npm con funzionalita di furto dati, ricognizione, installazione di chiavi SSH non autorizzate e propagazione tramite token. Alcuni casi includono compromissioni di pacchetti legittimi con dropper che scaricano RAT multipiattaforma, anche su macOS. Per ridurre l impatto servono controlli su dipendenze, pinning delle versioni, scansioni SCA e policy di pubblicazione interne.

L intelligenza artificiale entra nel perimetro delle minacce con tecniche di prompt injection indiretta, dove contenuti web avvelenati inducono agenti AI a compiere azioni reali come frodi, esfiltrazione di chiavi API o distruzione di dati. In parallelo, su macOS si osservano approcci living off the land che sfruttano funzioni native e metadati per nascondere payload e aggirare controlli EDR.