Un nuovo e grave attacco alla supply chain software ha colpito il popolare registro npm, compromettendo oltre 500 pacchetti e mettendo a rischio le credenziali di sviluppatori e aziende. I ricercatori di sicurezza informatica hanno scoperto che decine di pacchetti npm sono stati trojanizzati tramite una funzione malevola che scarica, modifica e ripubblica automaticamente le librerie, iniettando uno script JavaScript dannoso chiamato bundlejs. Questo malware ha lo scopo di cercare segreti e credenziali nei sistemi degli sviluppatori, sfruttando lo strumento legittimo TruffleHog per identificare e rubare token come GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY.

Il comportamento worm e la propagazione

Il worm, che si replica automaticamente, prende di mira sia sistemi Windows che Linux, riuscendo a propagarsi velocemente tra i pacchetti mantenuti da sviluppatori compromessi. Una volta infettato il sistema, il malware sfrutta le credenziali dell’utente per creare workflow GitHub Actions malevoli che estraggono dati sensibili e li inviano a server esterni controllati dagli attaccanti. Questo meccanismo permette al codice dannoso di persistere anche dopo la rimozione della minaccia iniziale, rendendo più difficile la bonifica delle infrastrutture coinvolte.

Pacchetti e account coinvolti

Tra i pacchetti colpiti figurano nomi noti come angulartics2, ngx-toastr, @ctrl/tinycolor, e numerosi moduli della comunità NativeScript, oltre a molti altri. Inoltre, l’attacco ha sfruttato anche un account npm denominato crowdstrike-publisher, utilizzando la reputazione dell’azienda per pubblicare ulteriori pacchetti trojanizzati. Gli analisti hanno identificato anche la compromissione di almeno 34 account GitHub, utilizzati per diffondere ulteriormente il worm, e la creazione di repository pubblici contenenti dati rubati.

Implicazioni e raccomandazioni

Questo attacco rappresenta un’evoluzione preoccupante delle minacce supply chain, introducendo un comportamento simile a un vero e proprio worm autoreplicante in grado di infettare l’ecosistema npm in modo esponenziale. Gli esperti consigliano a tutti gli sviluppatori coinvolti di analizzare i propri ambienti, ruotare i token npm e GitHub e rimuovere tempestivamente le versioni malevole dei pacchetti. La campagna, denominata Shai-Hulud, ricorda per modalità e tecniche la recente offensiva s1ngularity contro il build system nx.

Phishing contro l’ecosistema Rust

In parallelo, il Rust Security Response Working Group ha segnalato una campagna di phishing indirizzata agli utenti di cratesio, attraverso email provenienti da domini typosquattati che imitano la Rust Foundation, nel tentativo di sottrarre credenziali GitHub.

Il panorama delle minacce alla supply chain software si sta rapidamente evolvendo e richiede massima attenzione da parte di sviluppatori e aziende che si affidano a repository open source.