Negli ultimi mesi sono emerse nuove minacce contro le principali piattaforme di distribuzione di pacchetti software open source, in particolare RubyGems e PyPI. Un recente report ha rivelato la presenza di oltre 60 pacchetti malevoli che hanno preso di mira l'ecosistema RubyGems, spacciandosi per innocui strumenti di automazione per social media o servizi di blogging, con l'obiettivo di rubare credenziali sensibili agli utenti ignari.
Attori della minaccia e tecniche di attacco
Gli attori della minaccia hanno agito sotto diversi alias e hanno pubblicato i pacchetti dannosi camuffandoli da strumenti utili per Instagram, Twitter, TikTok, WordPress e altre piattaforme. Dietro queste apparenze si nascondeva codice in grado di esfiltrare username e password verso server controllati dagli attaccanti, sfruttando interfacce grafiche apparentemente legittime che inducevano l’utente a inserire le proprie credenziali. Alcuni pacchetti, come njongto_duo e jongmogtolon, erano focalizzati su forum finanziari, cercando di manipolare discussioni e visibilità attraverso automazioni fraudolente.
Infrastrutture e utenti colpiti
Le infrastrutture usate per ricevere i dati raccolti comprendevano domini come programzon.com, appspace.kr e marketingduo.co.kr, noti per offrire servizi di automazione e scraping. I principali utenti colpiti sono risultati essere marketer "grey-hat", ossia coloro che usano questi strumenti per campagne di spam o per aumentare artificialmente il coinvolgimento sui social.
Minacce e contromisure su PyPI
Parallelamente, la piattaforma Python PyPI ha subito campagne di typosquatting, in cui pacchetti dal nome simile a quelli legittimi venivano pubblicati per rubare criptovalute, in particolare gli asset conservati su wallet Bittensor. I pacchetti malevoli, come bitensor, qbittensor e bittenso, contenevano codice per sottrarre fondi durante le normali operazioni di staking.
In risposta a questi attacchi, i manutentori di PyPI hanno introdotto nuove restrizioni per contrastare tecniche di confusione basate su ZIP e migliorare i controlli sui pacchetti caricati, avvisando che dal febbraio 2026 verranno rigettati i pacchetti che non rispettano le nuove regole di sicurezza. Queste azioni evidenziano la crescente maturità e persistenza delle campagne di attacco nella supply chain open source e la necessità di una maggiore attenzione nella selezione e nell’uso di pacchetti provenienti da repository pubblici.