Sicurezza Informatica

Npm malevoli contro sviluppatori Ethereum

di Livio Varriale
scritto da Livio Varriale 0 commenti 2 minuti di lettura
Attacchi contro sviluppatori Ethereum con pacchetti npm malevoli

Una sofisticata campagna di attacchi alla supply chain sta colpendo l’ecosistema di sviluppo Ethereum, con focus su strumenti come Hardhat e la Nomic Foundation. Gli attaccanti sfruttano pacchetti npm malevoli per esfiltrare dati sensibili, come chiavi private, mnemonici e file di configurazione, compromettendo la sicurezza dei progetti Ethereum.

Hardhat e Nomic Foundation: strumenti nel mirino

Hardhat, sviluppato dalla Nomic Foundation, è un ambiente essenziale per lo sviluppo di smart contract e dApp su Ethereum. I suoi plugin personalizzabili sono un punto chiave per l’ottimizzazione dei flussi di lavoro degli sviluppatori. Tuttavia, questa flessibilità è stata sfruttata dai cybercriminali per distribuire pacchetti npm falsi, mascherati da plugin legittimi.

Uno dei pacchetti più scaricati, @nomicsfoundation/sdk-test, ha registrato oltre 1.000 download, dimostrando la capacità degli attaccanti di infiltrarsi nei flussi di lavoro quotidiani.

NPM malevoli: strategia degli attaccanti

Gli attaccanti utilizzano nomi che imitano plugin reali, come @nomisfoundation/hardhat-configure, rendendo difficile distinguere i pacchetti legittimi da quelli malevoli. Il codice dei pacchetti malevoli sfrutta funzioni di Hardhat, come hreInit() e hreConfig(), per raccogliere informazioni sensibili.

Dopo la raccolta, i dati vengono crittografati tramite una chiave AES hardcoded e inviati a server controllati dagli attaccanti utilizzando smart contract Ethereum per nascondere i dettagli delle infrastrutture C2.

Impatto e implicazioni per sviluppatori

Questi attacchi mettono a rischio interi progetti blockchain, con possibilità di:

  • Compromettere ambienti di sviluppo e produzione.
  • Distribuire contratti malevoli sulla rete Ethereum.
  • Perdere fondi e risorse critiche.

Le informazioni sensibili raccolte possono essere utilizzate per attacchi su vasta scala o vendute nel mercato nero, aggravando il danno per gli sviluppatori e gli utenti finali.

Gli sviluppatori devono adottare misure preventive per proteggersi, come verificare accuratamente i pacchetti npm prima dell’installazione e utilizzare strumenti di analisi come Socket per GitHub, che identifica e blocca pacchetti potenzialmente dannosi. La campagna evidenzia l’importanza della sicurezza nella supply chain e la necessità di rimanere vigili nell’uso di strumenti open-source.

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Articoli correlati

Garante privacy incontra Arma Carabinieri per attuazione protocollo...

USA: Governo muove Ethereum su Coinbase, fine sanzioni...

L’America Party di Musk punta sull’adozione del Bitcoin:...

Meloni, Veo 3 e i malware Android conquistano...

L’Italia non ha alfabetizzazione digitale: nuovo rapporto AGCOM

Rete di frodi finanziarie smantellata in Spagna e...

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope