Quattro pacchetti npm malevoli consegnano malware infostealer e bot DDoS Phantom Recenti ricerche nel campo della cybersicurezza hanno fatto emergere la scoperta di quattro pacchetti npm compromessi, in grado di distribuire sofisticati malware per il furto di informazioni e attacchi…
Quattro pacchetti npm malevoli consegnano malware infostealer e bot DDoS Phantom
Recenti ricerche nel campo della cybersicurezza hanno fatto emergere la scoperta di quattro pacchetti npm compromessi, in grado di distribuire sofisticati malware per il furto di informazioni e attacchi DDoS. Questa situazione rappresenta un concreto rischio per sviluppatori e aziende, inclusi gli utenti italiani, che utilizzano librerie e pacchetti open source.
I pacchetti pericolosi
I pacchetti identificati dagli esperti comprendono:
- chalk-tempalte (825 download)
- @deadcode09284814/axios-util (284 download)
- axois-utils (963 download)
- color-style-utils (934 download)
In particolare, “chalk-tempalte” è stato rilevato contenere una copia del codice sorgente del worm Shai-Hulud, recentemente reso open source da TeamPCP. Secondo Moshe Siman Tov Bustan di OX Security, questo potrebbe essere un segnale di una “competizione” tra attaccanti per sfruttare le vulnerabilità della supply chain.
Distinzione nei payload
Sebbene tutti i pacchetti siano stati pubblicati dallo stesso utente npm, i payload maligni che contengono sono differenti. “Axois-utils”, ad esempio, è progettato per installare un botnet DDoS che utilizza un framework in Golang chiamato Phantom Bot. Questo malware ha la capacità di inondare i siti target tramite i protocolli HTTP, TCP e UDP, nonché di stabilire persistenza sui sistemi operativi Windows e Linux. I restanti pacchetti servono a diffondere payload di furto di informazioni, in particolare “chalk-tempalte” che clona il codice di Shai-Hulud.
Furto di dati
Il codice contenuto in questi pacchetti è altamente invasivo; ad esempio, i pacchetti “@deadcode09284814/axios-util” e “color-style-utils” sono progettati per raccogliere SSH keys, variabili ambientali, credenziali cloud e dati di wallet per criptovalute. Queste informazioni vengono quindi trasferite a server remoti con indirizzi espliciti, creando un grave rischio per la sicurezza di chi utilizza questa libreria.
Una nuova era di attacchi?
Questa situazione mette in evidenza un trend preoccupante: i malintenzionati stanno diventando sempre più motivati e creativi nello sfruttare vulnerabilità, grazie alla crescente disponibilità di codice open source. Secondo OX Security, siamo solo all’inizio di un’ondata di attacchi alla supply chain, e le aziende dovrebbero essere in massima allerta.
Raccomandazioni per gli utenti
In risposta a questi sviluppi, gli utenti che hanno scaricato questi pacchetti npm sono invitati a disinstallarli immediatamente. È fondamentale eseguire verifiche approfondite su IDE e agenti di coding per rimuovere eventuali configurazioni malevole. Inoltre, è consigliabile ruotare segreti e credenziali e controllare eventuali repository GitHub che potrebbero contenere riferimenti a “A Mini Sha1-Hulud has Appeared”. Infine, è opportuno bloccare l’accesso di rete a domini sospetti.
In un panorama digitale in continua evoluzione, la sicurezza informatica deve diventare una priorità nelle strategie di sviluppo software, specialmente per le aziende italiane che desiderano proteggere i propri dati e le proprie risorse.
