Un recente attacco alla supply chain del software ha colpito diversi pacchetti npm molto diffusi, sfruttando una campagna di phishing per rubare i token di accesso dei manutentori. I criminali informatici hanno così potuto pubblicare versioni malevole dei pacchetti direttamente nel registro npm, senza lasciare traccia nei repository GitHub originali. Tra i pacchetti coinvolti ci sono eslint-config-prettier (diverse versioni), eslint-plugin-prettier, synckit, @pkgr/core e napi-postinstall. Questi pacchetti sono particolarmente popolari nella comunità JavaScript e DevOps, il che rende l’attacco ancora più insidioso.

Il malware iniettato sfruttava la possibilità di eseguire una DLL su sistemi Windows, aprendo la porta a una potenziale esecuzione di codice remoto. L’intera operazione ha avuto origine da una serie di email di phishing che imitavano comunicazioni ufficiali di npm. I messaggi, inviati da indirizzi apparentemente legittimi come Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., chiedevano ai destinatari di verificare la propria email tramite un link che, invece di portare al vero sito npmjs.com, reindirizzava a un dominio typosquattato (npnjs.com). Qui venivano raccolte le credenziali degli sviluppatori, permettendo agli attaccanti di impossessarsi dei token di pubblicazione.

Una volta ottenuti i token, i cybercriminali hanno distribuito versioni compromesse dei pacchetti senza che ci fossero commit o pull request sospette nei repository pubblici. Per questo motivo, molti utenti potrebbero aver installato inconsapevolmente versioni infette aggiornando normalmente le proprie dipendenze. Gli esperti raccomandano a tutti gli sviluppatori di verificare le versioni installate e, se necessario, effettuare il rollback a una release sicura. Inoltre, è fortemente consigliato attivare l’autenticazione a due fattori sui propri account npm e utilizzare token con scope limitato anziché le password per pubblicare pacchetti.

Questo caso dimostra quanto velocemente un attacco mirato contro i manutentori possa diventare una minaccia diffusa per l’intero ecosistema open source. In parallelo, sono stati segnalati altri pacchetti npm contenenti protestware mirati a siti russi o bielorussi, che possono disabilitare l’interazione con il mouse e riprodurre in loop l’inno nazionale ucraino. Anche la distribuzione di tre pacchetti malevoli su Arch User Repository (AUR), progettati per installare il trojan Chaos RAT da un repository GitHub, mostra come la supply chain rimanga un vettore di attacco molto attivo e sempre più sofisticato.