Negli ultimi mesi è stata scoperta una campagna di attacchi che ha coinvolto oltre 70 pacchetti dannosi tra la registry npm e le estensioni per Visual Studio Code, mettendo a rischio la sicurezza di sviluppatori e aziende. Questi pacchetti malevoli erano progettati per rubare dati sensibili dai sistemi infetti, tra cui informazioni di sistema, credenziali di accesso e persino portafogli di criptovalute.

Analisi dei pacchetti npm dannosi

Analizzando più nel dettaglio, almeno 60 pacchetti npm sono stati pubblicati da tre account distinti, ora rimossi, e contenevano script che si attivavano automaticamente durante l’installazione. Questi script, compatibili con Windows, macOS e Linux, eseguivano controlli per evitare l’analisi in ambienti virtualizzati e raccoglievano dati come hostname, indirizzi IP interni ed esterni, server DNS e directory utente. Le informazioni venivano poi inviate a un webhook su Discord, permettendo agli attaccanti di mappare le reti delle vittime e pianificare attacchi mirati.

Simulazione di librerie legittime e danni ai progetti

Non si tratta solo di furto dati: sono stati identificati otto ulteriori pacchetti npm che simulavano librerie di supporto per framework JavaScript popolari come React, Vue.js e Vite. Una volta installati, questi pacchetti potevano eliminare file critici dei progetti, corrompere metodi base di JavaScript o manipolare lo storage del browser, causando crash o perdita di dati. Alcuni di questi pacchetti, come js-bomb, riuscivano addirittura a spegnere il sistema della vittima.

Phishing e furto di credenziali

La tecnica degli attaccanti si è evoluta anche con la distribuzione di campagne di phishing. In un caso, un pacchetto npm mascherato da libreria open-source caricava script personalizzati per realizzare pagine di login fasulle di Office 365, sottraendo così le credenziali inserite dagli utenti.

Estensioni malevole per Visual Studio Code

Parallelamente, nel Visual Studio Code Marketplace sono state rilevate estensioni malevole progettate per colpire sviluppatori Solidity su Windows. Queste estensioni, con nomi apparentemente legittimi, nascondevano codice offuscato in più fasi che, una volta attivato, poteva installare estensioni browser dannose, disabilitare Windows Defender e rubare chiavi dei wallet di criptovalute, in particolare Ethereum. Gli attaccanti sfruttavano anche immagini ospitate su Internet Archive per trasportare ulteriori payload malevoli.

Tecniche avanzate e raccomandazioni

Le attività sono state attribuite a gruppi organizzati che adottano tecniche sempre più sofisticate, integrando attacchi supply chain, phishing e malware multi-stadio. Questa ondata di minacce evidenzia la necessità di mantenere alta l’attenzione durante l’installazione di librerie o estensioni da repository pubblici, adottando controlli di sicurezza avanzati e aggiornando costantemente le proprie difese.