Negli ultimi tempi, la sicurezza delle supply chain software è stata messa a dura prova da una nuova ondata di pacchetti malevoli individuati nell’ecosistema Go e npm. Un gruppo di ricercatori di sicurezza ha scoperto ben 11 pacchetti Go dannosi, progettati per scaricare ed eseguire payload aggiuntivi da server remoti, colpendo sia sistemi Windows che Linux. Questi pacchetti, distribuiti tramite repository su GitHub, contenevano un loader offuscato in grado di recuperare ulteriori binari ELF e PE, raccogliere informazioni sull’host, accedere ai dati del browser e comunicare con server di comando e controllo.

Il funzionamento di questi pacchetti si basa sulla capacità di avviare una shell in modo silenzioso e scaricare un secondo payload da endpoint C2, utilizzando domini .icu e .tech. La natura decentralizzata di Go, che permette di importare moduli direttamente da GitHub, complica l’identificazione di moduli sospetti, poiché spesso si trovano pacchetti con nomi simili ma provenienti da fonti diverse. Gli attaccanti sfruttano questa confusione creando namespace che appaiono affidabili, aumentando la probabilità che gli sviluppatori integrino involontariamente codice malevolo.

Risultati delle analisi

Le analisi suggeriscono che dietro l’operazione ci sia un unico attore, grazie alla somiglianza del codice e al riutilizzo degli stessi endpoint C2. Questo nuovo attacco evidenzia i rischi costanti delle supply chain software, soprattutto quando si tratta di linguaggi cross-platform come Go che possono diffondere rapidamente malware su più sistemi operativi.

Pacchetti npm sotto osservazione

Parallelamente, sono state individuate due librerie npm denominate naya-flore e nvlore-hsc, che si spacciano per strumenti di gestione socket WhatsApp ma integrano un kill switch remoto. Tali pacchetti, ancora disponibili su npm, scaricano un database remoto di numeri di telefono e, se il numero non è presente nella whitelist, attivano la cancellazione ricorsiva di tutti i file tramite il comando rm -rf *. Sono state riscontrate anche funzioni per l’esfiltrazione di informazioni dal dispositivo, sebbene alcune parti del codice risultino ancora in fase di sviluppo, come suggerisce la presenza di token GitHub hardcoded inutilizzati.

Questi episodi confermano come i repository open source restino un canale privilegiato per la distribuzione di malware, spesso finalizzato al furto di dati sensibili e, in alcuni casi, al targeting diretto di wallet di criptovalute. Gli attaccanti continuano a prediligere tecniche collaudate come la minimizzazione dei file, l’uso di script di installazione e metodi di esfiltrazione discreti. L’aumento delle tecniche di offuscamento sottolinea la necessità di una vigilanza costante da parte degli sviluppatori e rafforza il messaggio che, con la crescita dell’open source, aumentano anche le superfici d’attacco per le minacce alla supply chain.