Il registro di pacchetti npm è stato recentemente colpito da un’altra campagna di attacco altamente mirata. Questa campagna cerca di indurre gli sviluppatori a scaricare moduli dannosi, secondo quanto riferito dalla società di sicurezza della catena di approvvigionamento software, Phylum.
Dettagli dell’attacco
Phylum ha comunicato a The Hacker News che l’attività mostra comportamenti simili a quelli di un’onda di attacco precedente scoperta a giugno, che è stata successivamente collegata a minacce nordcoreane. Tra il 9 e il 12 agosto 2023, sono stati identificati ben nove pacchetti caricati su npm, tra cui ws-paso-jssdk, pingan-vue-floating, srm-front-util, cloud-room-video, progress-player, ynf-core-loader, ynf-core-renderer, ynf-dx-scripts e ynf-dx-webpack-plugins.
La natura sofisticata dell’attacco e il piccolo numero di pacchetti interessati suggeriscono che si tratta di un altro attacco altamente mirato, probabilmente con un aspetto di ingegneria sociale per indurre i bersagli a installare questi pacchetti.
Come funziona l’attacco
L’attacco inizia con il file package.json con un hook postinstall che esegue un file index.js al momento dell’installazione del pacchetto. Quest’ultimo utilizza il legittimo modulo pm2 come dipendenza per avviare un processo daemon che, a sua volta, esegue un altro file JavaScript chiamato app.js.
Il codice JavaScript è progettato per avviare una comunicazione criptata bidirezionale con un server remoto, “ql.rustdesk[.]net”, un dominio falsificato che si finge il legittimo software di desktop remoto RustDesk. Dopo 45 secondi dall’installazione del pacchetto, il malware inizia a trasmettere informazioni di base sull’host compromesso. Successivamente, il malware invia ping e attende ulteriori istruzioni ogni 45 secondi, che vengono poi decodificate ed eseguite.
Altre scoperte
Questo sviluppo segue la scoperta di una versione typosquat di un popolare pacchetto Ethereum su npm, progettato per effettuare una richiesta HTTP a un server cinese (“wallet.cba123[.]cn”) contenente la chiave crittografica dell’utente. Inoltre, il popolare pacchetto NuGet, Moq, ha attirato critiche dopo che le nuove versioni 4.20.0 e 4.20.1 del pacchetto rilasciate la scorsa settimana sono arrivate con una nuova dipendenza chiamata SponsorLink che estrae hash SHA-256 degli indirizzi email degli sviluppatori dalle configurazioni Git locali e le invia a un servizio cloud senza il loro consenso.
Gli attacchi alla catena di approvvigionamento come questi sono sempre più frequenti e possono avere gravi ripercussioni per le aziende e gli sviluppatori. È essenziale che le organizzazioni adottino misure preventive per proteggere i propri sistemi e dati.