Nel 2025, con l’intelligenza artificiale al centro dell’attenzione globale, gli attacchi informatici iniziano a sfruttare la fiducia nel digitale per introdurre nuovi vettori d’infezione. Secondo l’ultima indagine di Morphisec, una campagna malware particolarmente avanzata ha diffuso Noodlophile Stealer, un infostealer fino a oggi sconosciuto, attraverso piattaforme fraudolente che promettono la generazione video AI.
L’attacco si articola in modo sofisticato: gli utenti vengono convinti a caricare immagini o clip per “generare video AI” tramite siti imitativi con grafica professionale. Il download finale, però, contiene uno stealer travestito da file .mp4.exe, con componenti nativamente in C++ e moduli .NET offuscati.
Noodlophile è progettato per rubare credenziali browser, portafogli crypto e token, con la capacità opzionale di installare XWorm, un malware modulare dotato di funzioni di remote access. Il tutto si diffonde tramite archivi RAR offuscati, loader in C++ e script batch camuffati da documenti Word. L’infrastruttura si appoggia a Telegram bot e server registrati su IP sospetti, agendo in totale silenzio e invisibilità per l’utente.
Il file randomuser2025.txt, ospitato su un server remoto, è scritto in Python ed esegue il payload direttamente in memoria, utilizzando tecniche di offuscamento con Base85, zlib e marshal. Questo file è anche il punto in cui compare una dipendenza specifica: la libreria rand-user-agent, reperibile su npm, usata per simulare richieste da browser autentici.
Rand-user-agent: libreria npm utilizzata per simulare traffico legittimo
Il modulo rand-user-agent, sviluppato per progetti Node.js, è stato concepito originariamente per WebScrapingAPI, ma può essere facilmente integrato in strumenti automatizzati per generare stringhe realistiche di user-agent. Queste stringhe sono selezionate in base alla frequenza d’uso reale, con aggiornamenti settimanali.
L’attacco analizzato da Morphisec mostra come un file Python, scaricato durante l’infezione, faccia uso di componenti come rand-user-agent per rendere più credibili le richieste outbound, evitando sistemi di rilevamento basati su header anomali. Questo evidenzia un uso strumentale della libreria, non una sua vulnerabilità diretta, ma una sua integrazione in un contesto malevolo.
Il pacchetto genera stringhe casuali secondo un meccanismo normalizzato, garantendo che l’user-agent prodotto rifletta le distribuzioni osservate nel traffico reale, includendo variabili su device, browser e sistema operativo. È questo realismo statistico che lo rende attraente anche per attori malevoli impegnati in campagne evasive o fraudolente.
