Sommario
Il gruppo nordcoreano Lazarus, già noto per operazioni di cyber spionaggio e furto di criptovalute, intensifica la propria attività contro la supply chain del software prendendo di mira l’ecosistema npm. In una nuova ondata, particolarmente insidiosa per la comunità degli sviluppatori JavaScript, vengono individuati undici nuovi pacchetti npm malevoli, tutti collegati a un’infrastruttura già precedentemente associata al gruppo. Questi pacchetti, camuffati da strumenti comuni per la gestione di array, eventi o il logging, contengono in realtà loader di malware avanzati progettati per compromettere ambienti di sviluppo e sottrarre dati sensibili.
L’obiettivo di fondo non cambia: ottenere accesso iniziale ai sistemi dei developer, carpire informazioni riservate – come credenziali, chiavi private o portafogli crypto – e mantenere una presenza silente all’interno di ambienti vulnerabili. L’intera operazione prosegue sotto il nome in codice Contagious Interview, allusione diretta a campagne precedenti condotte tramite finte offerte di lavoro e false interviste online, destinate ad attrarre sviluppatori e manipolarli per installare volontariamente componenti compromessi.
Evoluzione della minaccia: nuove identità e repository distribuiti
Tra le novità rilevate figura l’utilizzo di nuovi account npm come taras_lakhai, mvitalii, wishorn e crouch626, ognuno dei quali ha pubblicato pacchetti apparentemente legittimi ma in realtà contenenti codice malevolo. Questi pacchetti condividono elementi infrastrutturali con quelli usati in campagne precedenti, inclusi indirizzi IP di comando e controllo (C2) già identificati da analisi OSINT.
Ad esempio, i pacchetti pubblicati da taras_lakhai e mvitalii si connettono entrambi a 45.61.151[.]71 sulla porta 1224, mentre quelli associati a wishorn si appoggiano a un indirizzo differente, 185.153.182[.]241, ma con la stessa porta. Le attività non si fermano al solo registry npm: i pacchetti si rifanno a repository GitHub e Bitbucket apparentemente attivi, creati ad arte per rafforzare la percezione di legittimità del codice pubblicato. In particolare, icloud-cod punta a un repository Bitbucket all’interno di una directory chiamata eiwork_hire, richiamo neanche troppo velato alle campagne di social engineering che sfruttano offerte di lavoro come veicolo d’infezione.
La tecnica: offuscamento in esadecimale e caricamento dinamico dei payload
La strategia impiegata da Lazarus è ingegnosamente sottile. Tutte le stringhe chiave, dai nomi dei moduli come axios o require agli URL dei server malevoli, sono codificate in esadecimale. Il codice malevolo include funzioni di decodifica che convertono i dati solo al momento dell’esecuzione, eludendo così sia gli strumenti di analisi statica che una revisione manuale rapida del sorgente.
Uno degli esempi più rappresentativi è il pacchetto cln-logger, che utilizza un array di stringhe codificate per costruire dinamicamente chiamate HTTP verso server remoti dai quali viene scaricato ulteriore codice, talvolta anche di seconda o terza fase. In altre istanze, come nei pacchetti snore-log o core-pino, la comunicazione avviene con server gestiti tramite infrastrutture di staging su Vercel, indice di un’attenzione particolare alla resilienza operativa e alla distribuzione capillare.
L’impiego di BeaverTail – un infostealer noto per colpire dati dei browser, keychain e wallet di criptovalute – continua a rappresentare la spina dorsale dell’attacco. In alcuni pacchetti emerge anche il nome di InvisibleFerret, utilizzato come backdoor secondaria per ottenere persistenza nei sistemi colpiti.
La narrazione della legittimità: GitHub e Bitbucket al servizio dell’inganno
Lazarus sfrutta repository esistenti o creati ad hoc per rafforzare l’apparente affidabilità dei pacchetti. Nella campagna attuale, alcuni repository sono creati prima della pubblicazione del pacchetto npm, simulando attività di sviluppo reale. Il caso di alextucker0519, ad esempio, mostra un commit su GitHub datato 11 marzo 2025, seguito il giorno dopo dalla pubblicazione su npm dello stesso codice sotto forma di pacchetto empty-array-validator. Questa sequenza temporale conferisce ai pacchetti un’apparenza di maturità e supporto, spesso usata come metrica di fiducia dai developer.
Bitbucket, generalmente meno monitorato rispetto a GitHub, è impiegato con la stessa logica ma con minore visibilità, rappresentando per Lazarus un canale parallelo di infezione e delivery del malware.
Diversificazione dei payload e strategie di evasione
La varietà dei pacchetti pubblicati e la differenza nei metodi di offuscamento suggeriscono un’intenzionale segmentazione delle tattiche, volta a testare differenti livelli di efficacia nella diffusione e nella sopravvivenza del codice malevolo. Alcuni pacchetti caricano codice remoto tramite endpoint pubblici mascherati da API legittime, altri operano esclusivamente come loader silenti. In tutti i casi, l’intento è eludere i controlli di sicurezza e mantenere accesso persistente nei sistemi infetti.
Il gruppo ricorre a un framework operativo che permette di modulare i componenti in base al contesto della vittima, utilizzando moduli per esfiltrare dati dai browser, accedere al sistema operativo, carpire credenziali o depositare ulteriori strumenti di spionaggio.
Un panorama che evolve, una minaccia che persiste
Ciò che rende questa campagna particolarmente pericolosa non è solo il numero di pacchetti o l’estensione della rete C2, ma la capacità del gruppo Lazarus di adattarsi, cambiando pseudonimi, infrastrutture e meccanismi di caricamento. Ogni pacchetto scoperto si rivela parte di un mosaico più ampio, nel quale la sicurezza della supply chain – spesso sottovalutata – diventa il tallone d’Achille di ambienti anche molto strutturati.
Ti è piaciuto questo contenuto? Iscriviti alla nostra newsletter settimanale
Seguici su Google News iscrivendoti al canale
La combinazione tra distribuzione decentralizzata, uso di tecniche anti-detection avanzate, integrazione in ecosistemi popolari e social engineering ben congegnato rende questa minaccia una delle più sofisticate e subdole degli ultimi mesi.
