Allarme Supply Chain Open Source: Pacchetti npm e PyPI rubano criptovalute e cancellano progetti

News
Visite: 94

Negli ultimi tempi è stata scoperta una nuova ondata di attacchi alla supply chain open source che colpisce importanti repository come npm, PyPI e RubyGems. Diversi pacchetti malevoli sono stati individuati, capaci di svuotare portafogli di criptovalute, cancellare interi progetti di codice e sottrarre token delle API di Telegram. Questi attacchi evidenziano quanto sia elevato il rischio all’interno degli ecosistemi di sviluppo open source.

Attacchi alle gem Ruby e Telegram

Tra le minacce più recenti troviamo due gem Ruby pubblicate poco dopo il ban di Telegram in Vietnam. Questi pacchetti, camuffati da plugin legittimi, reindirizzano in modo silente tutto il traffico API di Telegram verso server controllati dagli attaccanti, permettendo così la sottrazione di bot token, chat ID e messaggi. La strategia sfrutta eventi geopolitici per promuovere pacchetti dannosi sotto forma di “proxy” affidabili.

Pacchetti npm malevoli e furto di criptovalute

Nel mondo npm, è stato scoperto un pacchetto chiamato “xlsx-to-json-lh” che, tramite una semplice importazione, può cancellare l’intero contenuto di un progetto quando riceve un comando remoto dal server C2. Altri pacchetti npm malevoli sono stati progettati per intercettare e trasferire la maggior parte dei fondi presenti nei portafogli Ethereum e BSC delle vittime verso wallet controllati dai cyber criminali, tramite codice JavaScript offuscato.

Attacchi su PyPI e compromissione di wallet Solana

Anche PyPI è stato bersaglio di attacchi mirati ai portafogli Solana. Alcuni pacchetti Python modificano dinamicamente i metodi di generazione delle chiavi, così ogni volta che viene creato un nuovo keypair, la chiave privata viene criptata, codificata e inviata ai malintenzionati sfruttando il network Solana. Altri pacchetti PyPI sono stati progettati per sottrarre file di script Python e contenuti di Jupyter Notebook dai sistemi degli sviluppatori.

Typosquatting e diffusione trasversale

Non manca il fenomeno del typosquatting, con pacchetti che imitano nomi di librerie popolari come colorama o colorizr. Questi permettono l’accesso remoto persistente e il furto di dati sensibili sia su sistemi Windows che Linux. Talvolta, lo stesso nome viene utilizzato su ecosistemi diversi per ampliare la platea di vittime.

Tecniche avanzate di offuscamento

Un trend emergente è l’uso di tecniche avanzate per nascondere il codice malevolo, ad esempio tramite modelli di machine learning PyTorch che veicolano payload dannosi. Questi pacchetti, spacciati per SDK AI, raccolgono informazioni di sistema e dati di configurazione, suggerendo come i cyber criminali siano sempre più abili nell’aggirare i controlli di sicurezza tradizionali.

Pin It
, , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.