La sicurezza informatica è nuovamente sotto i riflettori con la scoperta di 48 pacchetti npm dannosi all’interno dell’omonimo repository. Questi pacchetti, astutamente nominati per sembrare legittimi, sono stati rivelati contenere codice JavaScript offuscato che innesca un reverse shell durante l’installazione del pacchetto.
Tattiche ingannevoli e reverse shell
Una recente indagine della società di sicurezza della supply chain software Phylum ha messo in luce la presenza di questi pacchetti contraffatti, pubblicati da un utente npm noto come hktalent. Al momento della scrittura, ben 39 di questi pacchetti rimangono disponibili per il download. Il meccanismo d’attacco si attiva dopo l’installazione del pacchetto tramite un hook di installazione nel file package.json, che richiama un codice JavaScript per stabilire un reverse shell verso rsh.51pwn[.]com.
Lista 48 pacchetti npm dannosi
In questa immagine, la lista dei pacchetti npm dannosi che invitiamo a verificarne la presenza sui propri sistemi informatici
Strategie di offuscamento e attacchi alla supply chain
Phylum sottolinea che l’attaccante ha pubblicato dozzine di pacchetti dal suono innocuo, utilizzando strati multipli di offuscamento e tattiche ingannevoli per distribuire un reverse shell su qualsiasi macchina che installi uno di questi pacchetti. Questo evento segue le rivelazioni di pacchetti dannosi pubblicati nell’indice dei pacchetti Python (PyPI), che sotto la copertura di semplificare l’internazionalizzazione, incorporavano codice malevolo progettato per sottrarre dati sensibili dall’applicazione Telegram Desktop e informazioni di sistema.
L’interesse crescente per gli ambienti open-source
Questi episodi evidenziano l’interesse crescente degli attori di minaccia verso gli ambienti open-source, che consentono loro di organizzare attacchi alla supply chain di vasta portata, capaci di colpire numerosi clienti a valle contemporaneamente. Le tecniche di offuscamento impiegate dimostrano uno sforzo dedicato ed elaborato per evitare la rilevazione tramite analisi statica e ispezione visiva, rendendo questi pacchetti un promemoria della natura critica della fiducia nelle dipendenze all’interno dei nostri ecosistemi open-source.