Un grave attacco alla supply chain del software ha colpito la piattaforma npm, compromettendo 20 pacchetti molto popolari che insieme registrano oltre 2 miliardi di download settimanali. L’incidente è stato causato dal furto delle credenziali di un maintainer noto, avvenuto tramite una sofisticata campagna di phishing. L’attacco ha iniziato con un’email fraudolenta, apparentemente proveniente dal supporto ufficiale npm, che invitava il maintainer a rinnovare le proprie credenziali 2FA. Seguendo il link, la vittima ha inserito username, password e token di autenticazione a due fattori su una pagina clonata, permettendo agli attaccanti di accedere all’account tramite una tecnica adversary-in-the-middle.

Una volta ottenuto il controllo, i cyber criminali hanno pubblicato versioni malevole dei 20 pacchetti, tra cui chalk, debug, ansi-regex, color-convert, strip-ansi e altri, ampiamente utilizzati nello sviluppo JavaScript. Il codice malevolo, una volta eseguito nel browser di utenti o sviluppatori che visitano siti contenenti questi pacchetti compromessi, agisce come un interceptor di traffico. In particolare, il malware intercetta le richieste di transazioni in criptovalute e modifica l’indirizzo di destinazione con uno controllato dagli attaccanti, sfruttando algoritmi come la Levenshtein distance per renderlo simile a quello originale e non destare sospetti.

Il payload malevolo si attiva verificando che il codice sia eseguito in ambiente browser, quindi si aggancia a funzioni critiche come window.fetch, XMLHttpRequest e alle API dei wallet di criptovalute. In questo modo, chiunque colleghi un wallet visitando un sito che carica uno di questi pacchetti rischia di veder sottratti i propri fondi digitali. Gli sviluppatori stessi possono essere vittime, se usano browser con wallet attivi durante lo sviluppo o il test delle applicazioni.

Attacchi alla supply chain open source

L’attacco conferma quanto siano bersagliati gli ecosistemi di pacchetti open source come npm e PyPI, sfruttando la fiducia nella comunità e la vastità della loro adozione. Oltre al rilascio diretto di pacchetti malevoli, i cyber criminali ricorrono anche a tecniche come typosquatting e slopsquatting, sfruttando errori di battitura o dipendenze suggerite da intelligenze artificiali per colpire i developer meno attenti.

Secondo report recenti, la maggioranza degli attacchi supply chain a scopo di furto crypto nel 2024 ha avuto come bersaglio proprio npm. Gli esperti sottolineano la necessità di rafforzare le pipeline CI/CD, bloccare le dipendenze e mantenere alta la vigilanza. L’episodio mostra come la compromissione anche di un singolo progetto open source possa avere impatti globali e ricadute economiche concrete.