Una serie di pacchetti dannosi, camuffati da software legittimi, sono stati scoperti nel registro npm dalla società di cybersicurezza Phylum.
I pacchetti – identificati il 13 luglio 2024 – contenevano funzionalità nascoste di comando e controllo incorporate in file immagine, eseguite durante il processo di installazione.
I ricercatori di Phylum hanno scoperto due pacchetti in questa campagna, uno dei quali denominato “img-aws-s3-object-multipart-copy” imitava una libreria GitHub legittima. La versione dannosa includeva modifiche per eseguire un nuovo script chiamato “loadformat.js” al momento dell’installazione.
Il file loadformat.js, pur sembrando innocuo a prima vista, conteneva un codice sofisticato progettato per estrarre ed eseguire payload nascosti dai file immagine forniti con il pacchetto. L’analisi di Phylum ha rivelato che una di queste immagini, camuffata da logo Microsoft, conteneva codice dannoso in grado di stabilire una connessione con un server di comando e controllo.
“Nascondere i payload nelle immagini non è un concetto nuovo”, afferma Phylum nel suo rapporto. “Tuttavia, quando un aggressore cerca di nascondere i propri payload in modo così profondo, possiamo solo supporre che sia sofisticato e che operi con un chiaro intento malevolo”.
Il payload estratto comprendeva la funzionalità di registrazione delle macchine infette con il server dell’aggressore, il recupero e l’esecuzione periodica di comandi e la trasmissione dei risultati all’aggressore. Il server di comando e controllo è stato identificato come operante dall’indirizzo IP 85.208.108.29.
Particolarmente preoccupante è il periodo di tempo in cui questi pacchetti dannosi sono rimasti disponibili sul registro di npm.
“I pacchetti dannosi sono rimasti disponibili su npm per quasi due giorni”, ha osservato Phylum. “Questo dato è preoccupante perché implica che la maggior parte dei sistemi non è in grado di rilevare e segnalare tempestivamente questi pacchetti, lasciando gli sviluppatori vulnerabili agli attacchi per periodi di tempo più lunghi”.
Questo incidente mette in evidenza la crescente sofisticazione degli attacchi alla catena di approvvigionamento che prendono di mira gli ecosistemi open-source. Phylum sottolinea la necessità critica per gli sviluppatori e le organizzazioni di sicurezza di esercitare estrema cautela quando incorporano librerie open-source nei loro progetti.
Gli sviluppatori sono invitati ad aumentare la vigilanza e a migliorare l’uso delle capacità di rilevamento per combattere questi attacchi sempre più sofisticati alle catene di fornitura del software.
