Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Supply Chain npm in allarme: pacchetti AntV trojanizzati rubano credenziali e colpiscono le pipeline CI/CD
Una nuova ondata di attacchi alla supply chain software sta colpendo le dipendenze JavaScript pubblicate su npm, con un focus su pacchetti legati all’ecosistema AntV. In questo scenario, gli aggressori hanno sfruttato la compromissione di un account maintainer per distribuire versioni trojanizzate di librerie molto popolari, tra cui echarts-for-react, un wrapper React per Apache ECharts con circa 1,1 milioni di download settimanali.
Il punto critico è che molti progetti e pipeline CI/CD aggiornano automaticamente le dipendenze, ampliando in modo drastico il rischio downstream per aziende e team di sviluppo.
Tra i pacchetti coinvolti compaiono diverse librerie AntV come g2, g6, x6, l7, s2, f2, g2plot, graphin e data-set, oltre a pacchetti esterni al namespace come timeago.js, size-sensor e canvas-nest.js. La tecnica osservata ricalca una catena di pubblicazioni rapide e successive, tipica di campagne automatizzate che puntano a massimizzare la diffusione prima che i pacchetti vengano rimossi o segnalati.
Il payload malevolo integra funzioni di credential theft e mira a sottrarre numerosi tipi di credenziali e segreti, inclusi token e chiavi per servizi cloud come AWS, Google Cloud e Microsoft Azure, oltre a GitHub, npm, SSH, Kubernetes, Vault, Stripe e stringhe di connessione a database. In alcuni casi tenta anche tecniche legate a Docker, come l’accesso al socket host. I dati raccolti vengono serializzati, compressi, cifrati e poi esfiltrati verso domini controllati dagli attaccanti e tramite una rete P2P. Come meccanismo di fallback, viene usato un token GitHub rubato per creare un repository pubblico sotto l’account della vittima e caricare un file JSON con le informazioni sottratte, rendendo più complessa l’individuazione del furto.
Un elemento rilevante è la logica di propagazione: con token npm rubati, il malware verifica la validità, enumera i pacchetti gestiti dal proprietario, scarica i tarball, inietta il codice malevolo, aggiunge hook di preinstallazione, incrementa le versioni e ripubblica a nome del maintainer compromesso. Per chi usa questi pacchetti, le azioni consigliate includono rotazione immediata delle credenziali, abilitazione della 2FA, audit di GitHub e delle pipeline CI/CD, e verifica puntuale delle versioni installate per tornare a release sicure.