Negli ultimi mesi sono emerse nuove minacce contro le principali piattaforme di distribuzione di pacchetti software open source, in particolare RubyGems e PyPI. Un recente report ha rivelato la presenza di oltre 60 pacchetti malevoli che hanno preso di mira l'ecosistema RubyGems, spacciandosi per innocui strumenti di automazione per social media o servizi di blogging, con l'obiettivo di rubare credenziali sensibili agli utenti ignari. Questi pacchetti, attivi almeno da marzo 2023, sono stati scaricati più di 275000 volte, anche se il dato reale degli utenti compromessi potrebbe essere inferiore.

Attori della minaccia e tecniche di attacco

Gli attori della minaccia hanno agito sotto diversi alias e hanno pubblicato i pacchetti dannosi camuffandoli da strumenti utili per Instagram, Twitter, TikTok, WordPress e altre piattaforme. Dietro queste apparenze si nascondeva codice in grado di esfiltrare username e password verso server controllati dagli attaccanti, sfruttando interfacce grafiche apparentemente legittime che inducevano l’utente a inserire le proprie credenziali. Alcuni pacchetti, come njongto_duo e jongmogtolon, erano focalizzati su forum finanziari, cercando di manipolare discussioni e visibilità attraverso automazioni fraudolente.

Infrastrutture e utenti colpiti

Le infrastrutture usate per ricevere i dati raccolti comprendevano domini come programzon.com, appspace.kr e marketingduo.co.kr, noti per offrire servizi di automazione e scraping. I principali utenti colpiti sono risultati essere marketer "grey-hat", ossia coloro che usano questi strumenti per campagne di spam o per aumentare artificialmente il coinvolgimento sui social.

Minacce e contromisure su PyPI

Parallelamente, la piattaforma Python PyPI ha subito campagne di typosquatting, in cui pacchetti dal nome simile a quelli legittimi venivano pubblicati per rubare criptovalute, in particolare gli asset conservati su wallet Bittensor. I pacchetti malevoli, come bitensor, qbittensor e bittenso, contenevano codice per sottrarre fondi durante le normali operazioni di staking.

In risposta a questi attacchi, i manutentori di PyPI hanno introdotto nuove restrizioni per contrastare tecniche di confusione basate su ZIP e migliorare i controlli sui pacchetti caricati, avvisando che dal febbraio 2026 verranno rigettati i pacchetti che non rispettano le nuove regole di sicurezza. Queste azioni evidenziano la crescente maturità e persistenza delle campagne di attacco nella supply chain open source e la necessità di una maggiore attenzione nella selezione e nell’uso di pacchetti provenienti da repository pubblici.