Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Corso Ethical Hacker: accedi alla promozione fino al 30 Aprile! Scopri di più
Supply Chain npm in Allarme: pacchetti “legittimi” rubano segreti e svuotano wallet Web3
Una nuova ondata di attacchi alla supply chain open source sta colpendo sviluppatori e progetti Web3 attraverso pacchetti npm apparentemente legittimi ma progettati per rubare segreti e svuotare wallet crypto. I ricercatori hanno individuato codice malevolo collegato a un pacchetto npm chiamato @validate-sdk v2, presentato come SDK per hashing, validazione e funzioni di sicurezza, ma in realtà orientato all’esfiltrazione di dati sensibili dall’ambiente compromesso.
Il pacchetto risulta caricato mesi prima e mostra tracce di codice generato con strumenti di intelligenza artificiale.
La catena di compromissione sfrutta dipendenze transitive. Un pacchetto di primo livello, usato come esca e privo di payload diretto, importa dipendenze di secondo livello che contengono la logica malevola. Questo approccio a strati rende più difficile l’individuazione per chi controlla solo il package principale e permette agli attaccanti di sostituire rapidamente i componenti malevoli se rimossi dal registry. Tra i pacchetti esca segnalati compaiono nomi legati a Solana e tool di trading, come @solana-launchpad sdk e altri SDK che imitano librerie utili per chi sviluppa applicazioni crypto.
Tecniche di evasione e mascheramento
- Typosquatting per confondere gli utenti con nomi simili a librerie note.
- Descrizioni copiate da progetti popolari per aumentare la credibilità.
- Dipendenze “miste” che combinano pacchetti molto popolari con pochi moduli malevoli ben nascosti.
Evoluzione del malware
Le prime varianti del malware erano info stealer in JavaScript capaci di cercare file .env e .json nella directory di lavoro e preparare l’invio verso infrastrutture esterne. Nel tempo il toolkit si è evoluto: da stealer leggeri a componenti più complessi con eseguibili Node e moduli compilati in Rust, con capacità multipiattaforma su Windows, Linux e macOS, inclusa la persistenza tramite backdoor SSH e il furto di interi progetti con codice sorgente.
Dropper, RAT e social engineering
Parallelamente sono emersi pacchetti npm usati come dropper per installare RAT con funzioni di controllo remoto, furto credenziali browser, estrazione di wallet, screenshot, keylogging e controllo di mouse e tastiera. Un altro filone utilizza società fittizie e falsi colloqui di lavoro con coding test ospitati su repository, inducendo i candidati a eseguire progetti contenenti dipendenze malevole. In alcuni casi le dipendenze vengono persino distribuite come artifact di release su GitHub e richiamate nel package lock per ridurre la visibilità rispetto a npm o PyPI.