Sommario
Nel corso del 2025, il cryptojacking ha compiuto un salto evolutivo rilevante, assumendo forme più furtive, sofisticate e difficilmente rilevabili rispetto al passato. A lanciare l’allarme è la società di cybersecurity c/side, che ha documentato una campagna globale capace di colpire oltre 3500 siti web mediante script JavaScript offuscati e tecniche avanzate come WebSocket e WebAssembly. Questi attacchi si contraddistinguono per la loro silenziosità operativa: il mining di criptovalute avviene direttamente sui browser delle vittime senza causare rallentamenti evidenti o consumi anomali, eludendo così i controlli degli antivirus tradizionali. Il cuore della campagna risiede nello script karma.js, caricato tramite domini sospetti come yobox[.]store e trustisimportant[.]fun. Il bersaglio preferito? I siti basati su OpenCart CMS, una piattaforma diffusa soprattutto tra i piccoli e medi e-commerce, vulnerabile a iniezioni client-side simili a quelle viste nei casi Magecart.
Web Workers, WebAssembly e infrastrutture riutilizzate
A differenza degli attacchi del passato, come quelli orchestrati da Coinhive, che nel 2017 raggiunse il 12% della rete Monero ma fu progressivamente neutralizzato dai browser nel 2019, la nuova generazione di cryptojacking si affida a tecniche modulari e scalabili. Il miner JavaScript utilizzato stabilisce connessioni WebSocket con server di comando e controllo come wss://lokilokitwo[.]de:10006, ricevendo istruzioni dinamiche per calibrare il carico computazionale sulla base delle prestazioni del dispositivo infettato. Attraverso l’uso di Web Workers, lo script suddivide il lavoro su più thread, mantenendo fluida l’esperienza utente e occultando l’attività malevola. Inoltre, la verifica della compatibilità con WebAssembly consente agli script di valutare l’hardware e sfruttarlo con la massima efficienza, mentre stringhe codificate, variabili rinominate e un uso intelligente del debugging nei DevTools contribuiscono a ridurre la possibilità di rilevamento e analisi forense.
Impatto sistemico: infrastrutture, supply chain e reputazione
Gli effetti sugli ambienti aziendali sono significativi. Sebbene l’obiettivo principale non sia il furto di dati, gli attacchi provocano un drenaggio invisibile di risorse computazionali che impatta le performance, aumenta i costi energetici e mina la fiducia degli utenti. I siti compromessi subiscono rallentamenti impercettibili ma costanti, con impatti su customer experience e tassi di conversione. c/side ha confermato che tra le vittime figurano anche enti governativi e aziende di grandi dimensioni, colpite all’interno di catene di fornitura digitali. Il rischio è duplice: perdita di controllo infrastrutturale e ricadute reputazionali in caso di mancato contenimento. Gli attaccanti, inoltre, sfruttano automazioni avanzate per scalare la campagna, aumentando la superficie di attacco senza incrementare il rischio di individuazione. Gli script utilizzati vengono caricati in maniera dinamica e appaiono spesso legittimi, aggirando con facilità le misure standard di protezione. I consumi energetici anomali sono visibili solo a livello di analisi aggregata, mentre i singoli dispositivi mostrano segnali minimi, se non nulli. La persistenza degli attacchi è garantita dalla capacità di adattarsi sia a desktop che dispositivi mobili.
Continui affinamenti tecnici e mimetismo operativo
Le analisi condotte in laboratorio mostrano un impianto tecnico estremamente modulare, con script capaci di attivarsi solo in condizioni specifiche e di mimetizzarsi nel traffico normale del sito. La presenza di parametri anomali nelle query, come karma=bs?nosaj=faster.mo, costituisce uno dei pochi indizi disponibili per i team di sicurezza. Gli script sono progettati per resistere anche a misure avanzate come le sandbox, sfruttando tecniche di evasione legate al comportamento del browser e della rete. Il codice include richieste HTTPS per scaricare in tempo reale i task di mining, che vengono eseguiti a bassa intensità per non destare sospetti. Alcuni attacchi sono stati individuati solo grazie a indicatori di compromissione (IOC) pubblicati da c/side, come gli hash di karma.js, le variabili offuscate e le connessioni WebSocket a indirizzi specifici. Le tecniche di code injection rivelano un livello di sofisticazione tale da richiedere un’azione coordinata tra sistemi SIEM, firewall, e strumenti di threat hunting comportamentale.
Rischi strategici e risposta difensiva
Il panorama delineato da c/side sottolinea quanto il cryptojacking moderno non sia più solo un problema tecnico, ma un rischio strategico per le organizzazioni. La sottrazione di potenza computazionale compromette la disponibilità delle risorse aziendali, mentre l’impiego di tecniche invisibili disegna un nuovo modello di minaccia: silente, persistente, scalabile. Le aziende che subiscono questi attacchi affrontano downtime imprevisti, indagini forensi complesse e spese operative elevate per la remediation. In mancanza di strumenti avanzati di analisi, le campagne possono durare settimane senza essere rilevate, erodendo la produttività e la fiducia nell’infrastruttura IT. c/side evidenzia inoltre come gli attori malevoli stiano riutilizzando infrastrutture precedenti, sfruttando domini legittimi compromessi per veicolare i loro payload. Ciò rende ancora più difficile la distinzione tra traffico benigno e maligno. Il codice viene testato in ambienti isolati prima del deployment, garantendo efficienza e evasione al momento dell’esecuzione live.
L’urgenza di difese client-side e monitoraggio comportamentale
La risposta efficace richiede un cambiamento nel paradigma difensivo. Le organizzazioni devono rafforzare le difese client-side, spesso trascurate rispetto a quelle server-side, e adottare politiche zero-trust estese al codice di terze parti. Gli amministratori sono invitati a monitorare i consumi CPU, analizzare le connessioni WebSocket, e verificare l’integrità degli script JavaScript dinamici. L’implementazione di Content Security Policy (CSP) è considerata una misura fondamentale per prevenire l’inclusione di codice non autorizzato. Altre contromisure includono l’utilizzo di firewall applicativi (WAF) per filtrare richieste sospette e sandboxing mirato per testare script in ambienti protetti. c/side raccomanda inoltre il blocco preventivo di domini come yobox[.]store, la verifica delle query anomale e il monitoraggio continuo tramite strumenti SIEM aggiornati con gli IOC pubblicati.
Il cryptojacking come minaccia geopolitica e industriale
Questa nuova ondata di cryptojacking si distingue per l’assenza di obiettivi esplicitamente finanziari diretti, ma per l’enorme capacità di degrado operativo che comporta. I settori colpiti includono retail, enti pubblici, editoria digitale e piccole imprese, spesso prive di difese avanzate. La natura stealth degli attacchi solleva preoccupazioni anche in ambito geopolitico, poiché può essere sfruttata come copertura per operazioni più ampie, inclusi movimenti laterali, test di penetrazione infrastrutturale e attività APT. I danni collaterali vanno ben oltre il mining di criptovalute, impattando la sicurezza e la stabilità dei sistemi informativi.
Una minaccia invisibile, ma concreta
Il cryptojacking del 2025 non è più una minaccia marginale relegata agli script pubblicitari o ai siti di streaming. È un fenomeno organizzato, automatizzato e infiltrato in ecosistemi digitali anche di rilievo, alimentato da tool sofisticati, strategie evolute e infrastrutture resilienti. Secondo c/side, questo tipo di attacco è destinato a crescere nel prossimo biennio, diventando un punto critico per tutte le aziende che non implementano strategie proattive di monitoraggio e difesa. In un contesto in cui l’attività malevola può avvenire senza lasciare tracce evidenti, il controllo sulla superficie client-side diventa il primo e più importante baluardo contro le minacce persistenti e silenziose.
