Allarme npm Typosquatting: pacchetti-trappola rubano segreti e scatenano DDoS con Phantom Bot

La sicurezza della supply chain su npm torna al centro dell’attenzione dopo la scoperta di quattro pacchetti malevoli progettati per distribuire infostealer e un malware DDoS chiamato Phantom Bot. I pacchetti, diffusi tramite tecniche di typosquatting e nomi molto simili a librerie legittime, hanno totalizzato migliaia di download e mostrano come un singolo attore possa combinare più catene di infezione per colpire sviluppatori e ambienti di build.

Pacchetti coinvolti

• chalk tempalte
• axois utils
• @deadcode09284814 axios util
• color style utils

Pur risultando pubblicati dallo stesso account, i payload integrati non sono identici. In particolare axois utils è stato analizzato come veicolo per Phantom Bot, una botnet DDoS sviluppata in Golang in grado di lanciare attacchi di flooding contro un bersaglio usando protocolli HTTP, TCP e UDP. Un aspetto critico è la persistenza, ottenuta sia su Windows sia su Linux, ad esempio tramite cartella di avvio automatico e attività pianificate, così da mantenere il controllo del sistema compromesso.

Gli altri tre pacchetti agiscono come infostealer. Tra questi chalk tempalte contiene un clone di un worm reso pubblico di recente e riutilizzato quasi senza modifiche, ma con un proprio server di comando e controllo e una chiave privata dedicata. Le credenziali sottratte vengono inviate al C2 e, in uno scenario particolarmente insidioso per chi sviluppa, i dati possono essere anche esportati su un repository pubblico tramite token GitHub rubati e API, aumentando il rischio di esposizione di segreti e codice.

Gli infostealer associati a @deadcode09284814 axios util e color style utils puntano a informazioni ad alto valore come chiavi SSH, variabili d’ambiente, credenziali cloud, informazioni di sistema, indirizzo IP e dati di wallet crypto, con esfiltrazione verso endpoint remoti controllati dagli attaccanti. Questo tipo di malware su npm sfrutta la fiducia nel registro e la velocità con cui le dipendenze vengono installate in pipeline CI/CD.

Azioni consigliate per ridurre l’impatto

• Disinstallare immediatamente i pacchetti sospetti.
• Ruotare tutti i segreti potenzialmente esposti (token, chiavi, credenziali).
• Controllare IDE e agenti di coding per configurazioni o componenti malevoli.
• Verificare repository creati automaticamente o modifiche non autorizzate.
• Bloccare a livello di rete domini e IP sospetti.
• Monitorare dipendenze e installazioni come misura chiave contro attacchi supply chain replicabili.