Un nuovo fronte di attacchi informatici colpisce la filiera del software con un focus ben preciso: colpire utenti di portafogli crittografici attraverso pacchetti NPM alterati. Secondo quanto analizzato da ReversingLabs, la recente campagna ha sfruttato moduli JavaScript distribuiti su NPM per iniettare codice maligno mirato a raccogliere seed phrase, chiavi private e credenziali legate a due dei wallet decentralizzati più diffusi: Atomic Wallet e Exodus Wallet.
La tecnica impiegata non è nuova ma si è evoluta in modo insidioso: sfruttare l’apparente legittimità di pacchetti open source, inseriti in progetti di sviluppo da programmatori ignari, per diffondere malware embedded capace di individuare automaticamente la presenza di applicazioni di wallet nel sistema host.
La campagna ha mostrato chiari tratti di persistenza strategica, puntando a modificare i comportamenti predefiniti del browser, esfiltrare dati sensibili su server esterni tramite webhook, e aggirare controlli antivirus usando offuscamento del codice e iniezione runtime nelle dipendenze.
Target mirato e precisione chirurgica: come funziona l’attacco
Una volta che il pacchetto NPM viene installato nel sistema della vittima – tipicamente un ambiente di sviluppo Node.js – il codice dannoso integrato in file .js o .json viene eseguito al momento della prima build o del runtime. Gli script iniziano con un check del sistema host, cercando percorsi noti e processi attivi che corrispondono a quelli di Atomic Wallet o Exodus.
Nel caso di conferma, l’attacco procede alla cattura dei file di configurazione, dati di seed locale e backup wallet, che vengono compressi ed esfiltrati verso endpoint C2 (Command and Control) difficili da tracciare, spesso mascherati dietro servizi legittimi come Firebase, Dropbox o Discord CDN.
Questi pacchetti compromessi erano spesso mascherati da strumenti di utility o testing, come node-ipc, event-stream, o fork di moduli popolari, con nomi leggermente alterati per sfuggire alla supervisione umana nei file package.json. I ricercatori di ReversingLabs hanno identificato nel codice l’uso di tecniche di iniezione asincrona, capaci di bypassare l’inizializzazione standard delle app desktop Electron, che è la base tecnologica di molti crypto-wallet.
La risposta della community: revoca, rimozione e necessità di auditing continuo
Non appena individuata la minaccia, i pacchetti sono stati segnalati alla moderazione di NPM, che ha proceduto alla loro rimozione immediata. Tuttavia, resta il nodo critico della finestra di esposizione, che può variare da giorni a settimane, soprattutto in progetti con pipelines CI/CD automatizzate, dove un aggiornamento automatico può propagare l’infezione anche senza intervento diretto.
ReversingLabs ha sottolineato come questi episodi confermino l’urgente necessità di auditing automatico delle dipendenze software, adozione di lockfile gestiti, e monitoraggio continuo degli aggiornamenti upstream. Soluzioni come SCA (Software Composition Analysis) e SBOM (Software Bill of Materials) diventano strumenti essenziali per garantire trasparenza e prevenzione nella catena del codice.
