Negli ultimi mesi la sicurezza dell'ecosistema open source è stata nuovamente messa a rischio da una serie di attacchi provenienti dalla Corea del Nord, focalizzati sulla pubblicazione di pacchetti malevoli sul registry npm. Sono stati identificati ben 67 nuovi pacchetti infetti, che si aggiungono a quelli distribuiti in precedenti campagne, con l’obiettivo di compromettere la supply chain del software e colpire in particolare sviluppatori JavaScript e aziende che utilizzano componenti open source.

Alla base di questa offensiva: la campagna Contagious Interview

Alla base di questa offensiva c'è la campagna denominata Contagious Interview, una strategia che mira a indurre sviluppatori ignari a scaricare e lanciare progetti open source infetti, spesso presentati come compiti di selezione o test di coding. Questi pacchetti sono stati scaricati oltre 17000 volte, segno che la minaccia è concreta e diffusa.

Nuovo malware loader: XORIndex

La novità di questa ondata di attacchi è la presenza di un nuovo malware loader, chiamato XORIndex, che rappresenta un'evoluzione rispetto al precedente HexEval. XORIndex si distingue per capacità di profiling avanzato della macchina infetta e per l’uso di infrastrutture di comando e controllo (C2) hard-coded, attraverso cui raccoglie dati sull’host e li invia a server remoti. Una volta eseguite le fasi iniziali, il loader attiva BeaverTail, un malware specializzato nell’estrazione di dati da browser e wallet di criptovalute, oltre a installare una backdoor Python nota come InvisibleFerret.

Progressione tecnica e resilienza degli attaccanti

L’analisi dei pacchetti ha rivelato una progressione tecnica: le prime versioni del loader erano poco sofisticate, mentre le più recenti sono più stealth e dotate di rudimentali funzioni di ricognizione di sistema. Gli attaccanti continuano a cambiare alias di maintainer npm e a riciclare loader e famiglie malware in nuove varianti, dimostrando una notevole resilienza contro le misure di difesa adottate dalla community.

Presenza di pacchetti malevoli collegati ad attori russi

In parallelo, sono stati scoperti anche pacchetti malevoli collegati ad attori russi, che sfruttano PowerShell per compromettere sistemi Windows e manipolano i conteggi dei download npm per simulare popolarità e legittimità dei propri pacchetti. Questa tattica aumenta il rischio che sviluppatori meno attenti finiscano con l’integrare codice dannoso nei propri progetti.

Alla luce di questi eventi, è fondamentale che chi utilizza npm e altri repository open source mantenga alta la guardia, verifichi l’affidabilità dei pacchetti e aggiorni costantemente le proprie pratiche di sicurezza per mitigare i rischi di attacchi supply chain sempre più sofisticati.