Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Supply Chain sotto assedio: 1700 pacchetti malevoli nordcoreani infettano npm e PyPI con loader invisibili
Negli ultimi mesi la sicurezza della supply chain software è tornata al centro dell’attenzione per una campagna persistente collegata alla Corea del Nord che sta diffondendo pacchetti malevoli in diversi ecosistemi open source. L’operazione, nota come Contagious Interview, utilizza librerie che imitano strumenti legittimi per sviluppatori ma che in realtà agiscono come loader di malware, aprendo la strada a infezioni più profonde e mirate.
I pacchetti individuati colpiscono repository molto usati come npm e PyPI, ma anche ambienti legati a Go, Rust e Packagist. Tra gli esempi compaiono nomi che richiamano logging e debugging, come dev log core, logger base, logkitx e pino debugger su npm, oltre a logutilkit e license utils kit su PyPI. Nel mondo Go sono stati osservati moduli pubblicati su percorsi che ricordano progetti ufficiali, mentre su Rust è stato segnalato un pacchetto chiamato logtrace. Questa strategia di typosquatting e impersonificazione aumenta le probabilità che uno sviluppatore installi la dipendenza sbagliata, specialmente in ambienti CI/CD dove l’automazione scarica pacchetti in modo massivo.
La particolarità di questa minaccia è che il codice dannoso spesso non si attiva durante l’installazione. Viene invece nascosto dentro funzioni apparentemente coerenti con lo scopo dichiarato della libreria, riducendo i segnali di allarme durante controlli superficiali. Nel caso di logtrace, ad esempio, la logica malevola risulta camuffata in un metodo di tracing che potrebbe essere usato senza sospetti.
Una volta eseguito, il loader recupera payload di secondo stadio specifici per piattaforma. Le capacità includono infostealer e RAT, con raccolta di dati da browser, password manager e wallet di criptovalute. In alcune varianti Windows è stata descritta una componente post-compromissione più completa, capace di:
- eseguire comandi shell
- registrare tasti
- esfiltrare dati del browser
- caricare file
- chiudere browser
- distribuire strumenti di accesso remoto come AnyDesk
- creare archivi cifrati
- scaricare moduli aggiuntivi
Dal gennaio 2025 sono stati collegati a questa attività oltre 1700 pacchetti malevoli, un numero che evidenzia risorse, perseveranza e obiettivi di spionaggio e furto finanziario. In parallelo, altre operazioni hanno mostrato compromissioni di pacchetti popolari tramite social engineering contro maintainer, confermando quanto sia cruciale rafforzare controlli su dipendenze, verifica degli autori, monitoraggio dei registry e policy di sicurezza nelle pipeline di sviluppo.