Set 16, 2025 Attacchi, In evidenza, News, RSS

---

I ricercatori della compagnia di sicurezza Socket hanno descritto un attacco supply chain responsabile della compromissione di più di 40 pacchetti NPM. La campagna è stata individuata inizialmente da Daniel Pereira, software engineer presso Loka, per via di un aggiornamento sospetto a @ctrl/tinycolor, una libreria per la manipolazione di file JavaScript con 2.2 milioni di download settimanali.

I ricercatori spiegano che le versioni compromesse dei pacchetti “includono una funzione (NpmModule.updatePackage) che scarica un pacchetto tarball, modifica il package.json, inietta uno script locale (bundle.js), crea di nuovo il pacchetto e lo ripubblica, abilitando la troianizzazione automatica dei pacchetti in download“.

Lo script malevolo scarica ed esegue TruffleHog, un tool legittimo usato per individuare eventuali credenziali o chiavi presenti nel codice. Gli attaccanti lo utilizzano per individuare token e credenziali cloud sul dispositivo della vittima; in seguito, i dati raccolti vengono inviati ai cybercriminali tramite un webhook.

Nel dettaglio, gli attaccanti cercano variabili d’ambiente quali, tra le altre, GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY. Per esfiltrare i dati e mantenere la persistenza, lo script crea un workflow di GitHub Actions all’interno dei repository a cui ha accesso.

I pacchetti NPM con relative versioni colpiti dall’attacco sono:

• [email protected]
• @ctrl/[email protected]
• @ctrl/[email protected]
• @ctrl/[email protected]
• @ctrl/[email protected]
• @ctrl/[email protected]
• @ctrl/[email protected]
• @ctrl/[email protected]
• @ctrl/[email protected]
• @ctrl/[email protected]
• @ctrl/[email protected]
• @ctrl/[email protected], @4.1.2
• @ctrl/[email protected]
• @ctrl/[email protected]
• @ctrl/[email protected]
• [email protected]
• [email protected], 0.2.1
• [email protected], 5.11.1
• @nativescript-community/[email protected]
• @nativescript-community/sentry 4.6.43
• @nativescript-community/[email protected]
• @nativescript-community/[email protected]
• @nativescript-community/[email protected]
• @nativescript-community/[email protected]
• @nativescript-community/[email protected]
• @nativescript-community/[email protected]
• @nativescript-community/[email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]

Secondo quanto riportato da The Hacker News, sono emersi anche altri pacchetti compromessi dall’attacco oltre a quelli segnalati da Socket. Gli attaccanti avrebbero sfruttato l’account di NPM “crowdstrike-publisher” per diffondere il malware in altri pacchetti.

I ricrcatori hanno confermato che la campagna è ancora in corso. Il team di Socket consiglia innanzitutto di passare a versioni non compromesse dei pacchetti finché non ci saranno patch risolutive e di ruotare i token NPM e altri segreti che potrebbero essere stati esposti.

---

• attacco supply chain, esfiltrazione dati, npm, pacchetti NPM, supply chain, Trojan

---

---