Una recente campagna di spear phishing ha sfruttato il registro npm come infrastruttura per rubare credenziali di accesso, pubblicando 27 pacchetti malevoli in un arco di circa cinque mesi. Il punto chiave non è convincere gli utenti a installare librerie dannose, ma riutilizzare npm e le CDN dei pacchetti come hosting affidabile per pagine di phishing eseguite direttamente nel browser. Questo approccio trasforma un servizio legittimo di distribuzione software in una base resiliente, più difficile da rimuovere rispetto a un dominio tradizionale.

I pacchetti sono stati caricati usando più alias e nomi differenti, una tattica che permette agli attaccanti di cambiare rapidamente identità e ripubblicare contenuti anche dopo eventuali rimozioni. Le esche riproducono portali di condivisione documenti e flussi di accesso Microsoft, con pagine HTML e JavaScript incorporate nella pagina di phishing. Dopo l’interazione della vittima, il flusso porta a una pagina di login che spesso presenta l’indirizzo email già compilato, aumentando la credibilità e riducendo l’attenzione dell’utente.

Ostacoli ad analisi e rilevamento

Per ostacolare analisi e rilevamento, il codice include controlli lato client contro bot e sandbox, oltre a richiedere input umano come movimenti del mouse o tocchi su schermo prima di proseguire. Il JavaScript risulta offuscato o fortemente minimizzato, così da rendere più complessa l’ispezione automatica. Un ulteriore livello di difesa è l’uso di campi honeypot nascosti: un utente reale non li compila, mentre crawler e strumenti automatici potrebbero valorizzarli, facendo fallire il flusso e impedendo il proseguimento dell’attacco.

Targeting e tecniche avanzate

Il targeting è stato mirato verso personale commerciale e vendite di organizzazioni vicine a settori critici, con un insieme di indirizzi email specifici associati a ruoli come account manager e business development. Si sospetta che i contatti possano essere stati raccolti tramite open source intelligence e informazioni pubbliche legate a fiere e eventi di settore. Alcuni elementi infrastrutturali risultano coerenti con tecniche di phishing avanzato come adversary in the middle, utili anche per bypassare alcune forme di MFA.

Indicazioni difensive

Dal punto di vista difensivo, diventa essenziale rafforzare la verifica delle dipendenze, monitorare richieste anomale verso CDN da contesti non di sviluppo, adottare MFA resistente al phishing e controllare eventi sospetti dopo l’autenticazione, soprattutto per utenti esposti a campagne mirate.