Librerie Malevole: Malicious Library (T1204.005)

Simulare un attacco via libreria malevola in laboratorio è un esercizio essenziale per comprendere l'intera catena, dalla pubblicazione del pacchetto fino all'esecuzione del payload. L'obiettivo è dimostrare come un setup.py o un postinstall script possano attivarsi silenziosamente al momento dell'installazione.

Il punto di partenza è creare un pacchetto Python minimale con un setup.py che sfrutti il parametro cmdclass per agganciare codice arbitrario alla fase di installazione. In un ambiente isolato, struttura il pacchetto con una directory contenente setup.py, __init__.py e un modulo Python. All'interno del setup.py, sovrascrivi la classe install di setuptools inserendo nel metodo run una chiamata a subprocess che esegua un comando di callback — ad esempio una reverse shell verso il tuo listener. L'installazione con pip install . dalla directory del pacchetto attiverà il codice durante la fase di build.

Per il mondo Node.js, il meccanismo equivalente sfrutta il campo preinstall o postinstall nel package.json. Inserendo uno script che esegua node -e "require('child_process').exec('...')", il codice scatta automaticamente al termine di npm install. È sufficiente pubblicare il pacchetto su un registry locale come Verdaccio (open source) per simulare l'intero flusso senza coinvolgere registri pubblici.

Per catturare la callback, imposta un listener con Netcat:

nc -lvnp 4444

Oppure usa un Metasploit handler con multi/handler configurato su un payload appropriato. Il punto chiave della dimostrazione è la correlazione temporale: mostrare che l'esecuzione avviene senza alcuna interazione ulteriore da parte dell'utente dopo il comando di installazione.

Per rendere il test realistico, valuta di impiegare GuardDog (open source), un tool di Datadog che analizza pacchetti PyPI e NPM alla ricerca di pattern sospetti come offuscamento, connessioni di rete nel setup script e accesso a variabili d'ambiente sensibili. Lancialo su un pacchetto sospetto con:

guarddog pypi scan

Un altro strumento utile è pip-audit (open source), che verifica le dipendenze installate contro il database di vulnerabilità note:

pip-audit --require-hashes -r requirements.txt

Per il typosquatting, strumenti come PyPI-scan o semplici script che calcolano la distanza di Levenshtein rispetto ai top 1000 pacchetti possono dimostrare quanto sia facile generare nomi confondibili. La simulazione si chiude documentando l'intera kill chain: comando utente → esecuzione setup script → callback C2 → eventuale persistenza.

La detection di questa tecnica si gioca interamente sulla correlazione comportamentale tra un comando di installazione e le attività anomale che ne seguono. Non esiste una singola firma che individui una libreria malevola; serve un approccio a catena che colleghi l'installazione a ciò che accade nei secondi e minuti successivi.

Su Linux, la detection rule DET0252/AN0698 indica la strada: monitora tramite auditd le syscall generate da processi come pip, npm, gem, poetry o conda eseguiti da utenti non-root. La correlazione critica è tra il comando di installazione e la comparsa, entro una finestra di 5 minuti, di nuovi file .py, .sh o .js in directory nascoste (come ~/.local/), connessioni di rete in uscita o modifiche a file di startup. Configura le audit rule per intercettare le execve sui binari dei package manager e correla con i flussi di rete tramite log NSM.

Su Windows (AN0699), la catena osservabile parte dall'esecuzione di pip.exe o npm.cmd nel contesto utente, seguita dall'avvio di interpreti come python.exe o node.exe con processi figli inattesi, oppure da scritture in %APPDATA%, %TEMP% o %LOCALAPPDATA%. Sysmon è la sorgente primaria: gli eventi EventCode 1 (Process Create) catturano la catena di processi padre-figlio, mentre EventCode 11 (File Create) rileva i file scritti post-installazione. Filtra i falsi positivi escludendo i processi padre legittimi come IDE noti e tool di automazione enterprise tramite il parametro di tuning AllowedParentProcesses.

Su macOS (AN0700), il focus si sposta su Homebrew, pip3 e npm eseguiti da Terminal, correlati con la creazione di Launch Agents nelle directory ~/Library/LaunchAgents (persistenza), l'avvio di binari non firmati, o connessioni in uscita da python3 o node verso domini sconosciuti. I log unificati di macOS sono la fonte primaria.

Per la gestione dei falsi positivi, che saranno frequenti in ambienti di sviluppo attivi, il tuning passa per tre assi: whitelist dei package manager autorizzati, whitelist dei percorsi di installazione legittimi e restrizione del contesto utente ai soli account interattivi (escludendo service account e CI/CD). Valuta l'adozione di un registry interno di pacchetti approvati — strumenti come Artifactory (a pagamento) o Verdaccio (open source) per NPM — così da ridurre il rumore eliminando alla radice le installazioni da registry pubblici.

L'indagine forense su un incidente da libreria malevola parte da un punto preciso: il comando di installazione. Il primo artefatto da cercare è la command history dell'utente. Su Linux, esamina ~/.bash_history, ~/.zsh_history o il file equivalente della shell in uso per individuare comandi pip install, npm install o varianti. Su macOS il percorso è analogo. Su Windows, la console history di PowerShell in %APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt può contenere tracce preziose.

Una volta identificato il pacchetto sospetto, ricostruisci cosa è stato scritto su disco. Su Linux, le directory critiche sono ~/.local/lib/pythonX.Y/site-packages/ per pip e node_modules/ nella directory del progetto per npm. Ogni pacchetto Python lascia anche metadati nella directory .dist-info all'interno del site-packages: qui trovi il file RECORD con l'elenco di tutti i file installati e i rispettivi hash, una fonte preziosa per la timeline. Per npm, il file package.json del modulo e l'eventuale script postinstall sono la prima cosa da ispezionare.

La fase successiva è correlare l'installazione con l'attività di rete. I log di auditd con le regole sulle syscall connect e sendto, oppure i log del firewall host, rivelano le connessioni stabilite dal processo interprete (python, node) immediatamente dopo l'installazione. Su Windows, i log di Sysmon con EventCode 3 (Network Connection) filtrati per i processi python.exe e node.exe forniscono IP e porte di destinazione.

Per la persistenza, verifica su Linux i file crontab dell'utente (crontab -l), le directory ~/.config/autostart/ e i timer systemd utente. Su macOS, cerca plist sospetti in ~/Library/LaunchAgents/. Su Windows, analizza le chiavi di Run nel registro utente (HKCU\Software\Microsoft\Windows\CurrentVersion\Run) e le directory di startup.

Il caso di Contagious Interview offre un riferimento operativo: il gruppo ha indotto le vittime a installare librerie da repository di codice, portando a distribuzione di payload aggiuntivi e furto di dati sensibili. In un'indagine su un incidente attribuibile a questo schema, cerca nel browser history dell'utente eventuali accessi a repository GitHub sconosciuti, e correla i timestamp con il primo comando di installazione nella shell history. Strumenti come plaso/log2timeline (open source) sono ideali per unificare queste fonti eterogenee in una supertimeline coerente.

Il panorama degli attori che sfruttano librerie malevole come vettore di esecuzione è attualmente circoscritto ma in espansione. L'unico gruppo formalmente attribuito su questa tecnica è Contagious Interview (G1052), un attore che ha fatto dell'ingegneria sociale sugli sviluppatori il proprio marchio operativo.

Contagious Interview (G1052) opera inducendo le vittime a installare librerie malevole da repository di codice, un approccio che si distingue per la specificità del targeting: sviluppatori software, tipicamente contattati con il pretesto di colloqui tecnici o collaborazioni su progetti open source. L'installazione della libreria compromessa porta alla distribuzione di payload aggiuntivi e, soprattutto, al furto di dati sensibili — un obiettivo che suggerisce motivazioni di raccolta intelligence piuttosto che puramente finanziarie. Il vettore sociale (il finto colloquio) è il meccanismo di leva che convince la vittima ad eseguire il codice senza sospetti.

Dal punto di vista dei pattern operativi, la tecnica delle librerie malevole presenta caratteristiche che la rendono attrattiva per una gamma crescente di attori. Il costo di creazione di un pacchetto malevolo è irrisorio, la distribuzione è globale e immediata attraverso i registry pubblici, e l'attribuzione è complessa perché l'infrastruttura di distribuzione (NPM, PyPI, GitHub) è legittima. Il typosquatting non richiede la compromissione di account esistenti, abbassando ulteriormente la barriera d'ingresso.

Le sovrapposizioni di tooling meritano attenzione. Attori focalizzati su supply chain software spesso combinano la pubblicazione di pacchetti malevoli con tecniche di compromissione delle dipendenze (Compromise Software Dependencies and Development Tools), creando un continuum tra la creazione di librerie ex novo e il backdooring di progetti già affermati. Monitorare i registry pubblici per anomalie — pacchetti nuovi con nomi simili a librerie popolari, spike di pubblicazione da account appena creati, script di setup con importazioni sospette — è un'attività di intelligence proattiva che il TI team può automatizzare tramite strumenti come Socket (freemium) per l'analisi continua delle dipendenze o le API dei registry stessi.

Il trend evolutivo suggerisce che la superficie di attacco si estenderà verso ecosistemi meno presidiati rispetto a NPM e PyPI: i registry di pacchetti per Rust (crates.io), Go (pkg.go.dev) e i container OCI sono candidati naturali. La raccomandazione strategica è integrare il monitoraggio dei registry nelle fonti di threat intelligence, trattando ogni nuova dipendenza come un potenziale vettore di compromissione.

Framework MITRE ATT&CK v16 — T1204.005 (Malicious Library), TA0002 (Execution), G1052 (Contagious Interview), M1033, M1031, M1017, DET0252 (AN0698, AN0699, AN0700). Tool di detection e analisi: GuardDog, pip-audit, Verdaccio, plaso/log2timeline, Sysmon, auditd. Integrato con conoscenza professionale per tool e procedure operative.