Nel panorama della sicurezza informatica, la scoperta di pacchetti npm malevoli rappresenta una minaccia sempre più concreta per utenti e sviluppatori. Un recente caso riguarda il pacchetto nodejs-smtp, creato per infettare applicazioni desktop di portafogli di criptovalute come Atomic Wallet ed Exodus su sistemi Windows. Questo pacchetto si presentava come una versione legittima di nodemailer, una popolare libreria per l’invio di email, copiando tagline, stile della pagina e descrizioni per trarre in inganno gli sviluppatori.
Nodejs-smtp, caricato su npm ad aprile 2025 e scaricato almeno 347 volte prima di essere rimosso, sfruttava tecniche sofisticate per agire in modo furtivo. Una volta importato nella propria applicazione, il pacchetto utilizzava strumenti di Electron per estrarre l’archivio app.asar delle applicazioni Atomic Wallet ed Exodus, sostituendo un bundle di codice con un payload malevolo. Successivamente, ricompattava l’applicazione e cancellava ogni traccia delle proprie attività, rendendo difficile l’identificazione del compromesso.
Lo scopo principale dell’attacco era intercettare e modificare gli indirizzi di destinazione delle transazioni di criptovaluta. Il malware agiva come un vero e proprio clipper, sovrascrivendo l’indirizzo inserito dall’utente con uno controllato dall’attaccante. In questo modo, transazioni di Bitcoin, Ethereum, Tether, XRP e Solana venivano dirottate su portafogli malevoli, causando la perdita dei fondi.
Per non destare sospetti, nodejs-smtp implementava effettivamente le funzionalità di un mailer compatibile con nodemailer, garantendo che i test delle applicazioni passassero e che gli sviluppatori non notassero nulla di anomalo. Questo livello di mimetismo riduceva la probabilità di un’analisi approfondita del codice, aumentando il rischio di compromissione.
La campagna segue episodi simili, come quello del pacchetto pdf-to-office, che aveva già dimostrato la possibilità di alterare archivi app.asar di portafogli cripto tramite dipendenze npm apparentemente innocue. Questi attacchi evidenziano i rischi legati all’importazione di dipendenze non verificate, soprattutto su workstation di sviluppo, e la capacità di un semplice import di compromettere applicazioni desktop senza necessità di interazione utente.
L’utilizzo di tecniche di import time execution e la manipolazione dei pacchetti Electron mostrano come le supply chain siano un bersaglio privilegiato per i cybercriminali, spingendo aziende e sviluppatori a rafforzare le procedure di verifica e controllo delle dipendenze open source.
