Due campagne malware emerse nelle ultime ore mostrano come gli aggressori continuino a sfruttare ecosistemi digitali basati sulla fiducia per distribuire codice malevolo su larga scala. Da una parte, numerosi contenuti pubblicati su Steam Workshop per Wallpaper Engine sono stati utilizzati come vettori di infezione per distribuire infostealer, backdoor, cryptominer e persino ransomware. Dall’altra, un sofisticato attacco alla supply chain software ha compromesso 144 pacchetti del framework Mastra pubblicati sul registro npm, trasformando dipendenze legittime in strumenti per il furto di credenziali e wallet di criptovalute. Sebbene i due incidenti coinvolgano ambienti molto differenti, entrambi sfruttano lo stesso principio: la fiducia che utenti e sviluppatori ripongono in piattaforme considerate affidabili. Il risultato è una distribuzione capillare di malware attraverso canali normalmente utilizzati per scaricare contenuti, aggiornamenti e componenti software legittimi.
Cosa leggere
Steam Workshop diventa un canale di distribuzione malware
L’ecosistema di Steam Workshop è finito nel mirino dei cybercriminali attraverso una campagna che sfrutta le caratteristiche avanzate di Wallpaper Engine, una delle applicazioni più popolari per la personalizzazione del desktop Windows. A differenza dei tradizionali sfondi statici, Wallpaper Engine consente di utilizzare contenuti dinamici e applicazioni eseguibili come wallpaper. Questa funzionalità, pensata per offrire maggiore libertà creativa agli utenti, è stata sfruttata dagli aggressori per distribuire pacchetti apparentemente innocui che contengono codice malevolo.
I file vengono pubblicati come normali contenuti della community e spesso si presentano come giochi, animazioni o wallpaper avanzati. Una volta installati, possono avviare automaticamente componenti dannosi senza che l’utente percepisca immediatamente attività sospette. La distribuzione attraverso una piattaforma ufficiale aumenta notevolmente la credibilità del contenuto e riduce la diffidenza delle potenziali vittime.
Infostealer, backdoor e ransomware nascosti nei wallpaper
Le analisi effettuate sui pacchetti individuati hanno rivelato una notevole varietà di malware. Tra le famiglie identificate figurano Lumma Stealer, Vidar, la backdoor DarkKomet, diversi cryptominer, loader per botnet e persino varianti di ransomware. In molti casi il codice malevolo viene nascosto all’interno di archivi compressi protetti da password. Le chiavi di accesso sono spesso riportate direttamente nel nome del file oppure archiviate in file JSON inclusi nel pacchetto, consentendo al malware di essere estratto ed eseguito automaticamente.
Uno dei casi più significativi ha coinvolto un wallpaper travestito da videogioco che installava una backdoor persistente e modificava componenti di sistema per intercettare e rubare credenziali associate agli account Steam. La varietà dei payload dimostra che la piattaforma viene utilizzata da gruppi differenti, ciascuno interessato a specifiche tipologie di monetizzazione delle infezioni.
Migliaia di download aumentano l’impatto della campagna
Uno degli aspetti più preoccupanti dell’operazione riguarda la diffusione dei contenuti malevoli. Diversi wallpaper compromessi hanno raggiunto migliaia o addirittura decine di migliaia di download prima della rimozione. Le vittime risultano concentrate soprattutto in Russia e Cina, ma la natura globale di Steam rende possibile la propagazione anche in altre aree geografiche. Valve ha provveduto a eliminare i contenuti identificati dopo le segnalazioni, tuttavia nuovi pacchetti continuano a comparire periodicamente sulla piattaforma.
Questo ciclo continuo evidenzia la difficoltà di moderare ecosistemi basati sui contenuti generati dagli utenti, soprattutto quando i file malevoli vengono camuffati all’interno di progetti apparentemente legittimi. Gli aggressori sfruttano infatti il tempo necessario alle verifiche e alla rimozione per raggiungere un numero significativo di installazioni.
L’attacco easy-day-js colpisce il framework Mastra
Parallelamente al caso Steam, il mondo dello sviluppo software è stato interessato da un importante attacco alla supply chain che ha coinvolto il framework Mastra. L’operazione, identificata come easy-day-js, ha compromesso 144 pacchetti pubblicati nel namespace ufficiale del progetto su npm. L’origine dell’incidente non è stata una vulnerabilità tecnica del repository, ma un problema di gestione degli accessi. Gli aggressori hanno infatti sfruttato un account npm appartenente a un ex contributor che manteneva ancora privilegi di pubblicazione nonostante non fosse più coinvolto nello sviluppo del framework. Utilizzando questo accesso legittimo, l’attaccante ha pubblicato nuove versioni compromesse dei pacchetti, rendendo l’operazione particolarmente difficile da individuare nelle prime fasi.
Una dipendenza malevola nascosta nei pacchetti npm
Le versioni alterate dei pacchetti includevano una nuova dipendenza chiamata easy-day-js, progettata per imitare la popolare libreria dayjs. L’obiettivo era sfruttare la somiglianza del nome per ridurre le probabilità di individuazione da parte degli sviluppatori e degli strumenti di revisione automatica. Durante l’installazione, il pacchetto eseguiva un hook postinstall incaricato di scaricare un payload secondario da infrastrutture controllate dagli aggressori. Questo approccio consente di mantenere il codice malevolo principale al di fuori del repository npm e di aggiornarlo dinamicamente nel tempo. La tecnica è particolarmente efficace perché trasforma un normale processo di installazione delle dipendenze in un meccanismo di distribuzione malware, sfruttando procedure considerate legittime all’interno dell’ecosistema JavaScript.
Il malware prende di mira wallet crypto e credenziali di sviluppo
Il payload distribuito attraverso easy-day-js è un information stealer multipiattaforma compatibile con Windows, macOS e Linux. Una volta eseguito, il malware raccoglie informazioni sensibili dai browser, cronologia di navigazione, credenziali salvate e dati associati a oltre 160 estensioni dedicate ai wallet di criptovalute. Oltre al furto di informazioni, il malware implementa meccanismi di persistenza e mantiene comunicazioni con un server C2 dal quale può ricevere ulteriori istruzioni operative. Questa architettura consente agli aggressori di distribuire moduli aggiuntivi, aggiornare le funzionalità del malware e ampliare le capacità dell’infezione dopo il compromesso iniziale. La natura multipiattaforma del payload aumenta significativamente il potenziale impatto dell’attacco, consentendo di colpire sviluppatori indipendentemente dal sistema operativo utilizzato.
Anche il popolare pacchetto @mastra/core è stato compromesso
Tra i componenti interessati dall’attacco figura anche @mastra/core, uno dei pacchetti più utilizzati dell’intero ecosistema Mastra con oltre 900.000 download settimanali. La presenza di una dipendenza malevola in un componente così diffuso aumenta notevolmente la superficie di esposizione. Sebbene npm abbia successivamente rimosso le versioni compromesse e ripristinato la situazione, gli ambienti che hanno installato i pacchetti durante la finestra di compromissione devono essere considerati potenzialmente infetti. In scenari di supply chain attack, infatti, la semplice eliminazione del pacchetto dal repository non garantisce la rimozione automatica del malware dai sistemi che lo hanno già eseguito. Le organizzazioni coinvolte devono effettuare verifiche approfondite per individuare eventuali persistenze, credenziali compromesse e comunicazioni verso infrastrutture controllate dagli aggressori.
Due campagne diverse unite dallo stesso modello operativo
Sebbene coinvolgano contesti differenti, i due incidenti condividono una logica comune. Nel caso di Steam Workshop, gli aggressori sfruttano la fiducia degli utenti nei contenuti pubblicati dalla community e nelle piattaforme ufficiali di distribuzione. Nell’attacco a Mastra, invece, viene sfruttata la fiducia degli sviluppatori nei repository open source e nei pacchetti provenienti da maintainer considerati affidabili. In entrambi i casi il malware viene distribuito attraverso canali legittimi e difficilmente percepiti come rischiosi dalle vittime. Questo approccio consente agli attaccanti di superare molte delle barriere psicologiche e tecniche che normalmente ostacolano la diffusione del malware attraverso siti sconosciuti o allegati sospetti.
Supply chain e piattaforme community restano bersagli prioritari
Le campagne che hanno colpito Wallpaper Engine e il framework Mastra confermano una tendenza ormai consolidata nel panorama delle minacce informatiche. Gli aggressori puntano sempre più spesso a ecosistemi basati sulla fiducia, dove una singola compromissione può propagarsi rapidamente a migliaia di utenti o sviluppatori. Nel mondo gaming l’obiettivo principale resta il furto di account e credenziali, mentre negli ambienti di sviluppo software cresce l’interesse per wallet crypto, segreti applicativi e accessi privilegiati. Per gli utenti finali è fondamentale verificare attentamente la provenienza dei contenuti installati, mentre per gli sviluppatori diventa sempre più importante monitorare dipendenze, processi di build e catene di distribuzione software. Entrambi gli incidenti dimostrano che la sicurezza non dipende soltanto dalla qualità del codice utilizzato, ma anche dalla fiducia riposta nelle piattaforme che lo distribuiscono.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
