Nel mondo della sicurezza informatica, si sta assistendo a un aumento di pacchetti npm malevoli. Un esempio recente è il pacchetto "pdf-to-office", che si finge un utile strumento per la conversione di file PDF in documenti Word, ma nasconde un pericoloso obiettivo: compromettere i portafogli di criptovalute come Atomic Wallet ed Exodus. Questo pacchetto, scoperto di recente, è in realtà un mezzo per iniettare codice malevolo nei software di portafogli di criptovalute, modificando gli indirizzi delle transazioni per dirottare i fondi verso gli aggressori.

Il pacchetto "pdf-to-office" è stato pubblicato il 24 marzo 2025, e ha subito diversi aggiornamenti. La sua scoperta mette in luce un approccio sofisticato da parte dei cybercriminali, che riescono a mantenere il software malevolo nei sistemi degli sviluppatori anche dopo la rimozione del pacchetto stesso. L'analisi del pacchetto ha rivelato che il codice malevolo verifica la presenza del file "atomic/resources/app.asar" nel sistema, per poi sovrascrivere i file legittimi con versioni trojanizzate. Questo processo consente di cambiare gli indirizzi di destinazione delle criptovalute con quelli degli aggressori, utilizzando un portafoglio Web3 codificato in Base64.

Curiosamente, gli attacchi si concentrano su versioni specifiche di Atomic Wallet e Exodus per garantire la corretta sovrascrittura dei file JavaScript. Anche se il pacchetto malevolo viene rimosso, il software dei portafogli compromessi continua a inviare fondi agli aggressori, a meno che non venga completamente rimosso e reinstallato.

Questa scoperta si aggiunge a una serie di incidenti simili, come l'esposizione di estensioni malevole di Visual Studio Code, che hanno installato script PowerShell per disabilitare la sicurezza di Windows e installare cryptominer XMRig. Queste estensioni sono state scaricate oltre un milione di volte, evidenziando la portata della minaccia.

In sintesi, i pacchetti npm malevoli rappresentano un rischio significativo per la sicurezza informatica, con la capacità di compromettere i sistemi degli sviluppatori e dirottare fondi in criptovalute. Le aziende e gli sviluppatori devono essere vigili e adottare misure di sicurezza rigorose per proteggersi da queste minacce in continua evoluzione.