Attacco alla Supply Chain Software da Parte di Hacker Nordcoreani
Una società di cybersecurity statunitense ha rivelato che gli hacker nordcoreani hanno trasformato una delle librerie software più utilizzate al mondo in un sistema di distribuzione per malware. In un rapporto pubblicato la scorsa settimana, i ricercatori di Socket, un’azienda specializzata nella sicurezza della supply chain, hanno dichiarato di aver trovato oltre 300 pacchetti di codice malevolo caricati nel registro npm, un repository centrale utilizzato da milioni di sviluppatori per condividere e installare software JavaScript.
Questi pacchetti, piccole porzioni di codice riutilizzabile impiegate in tutto, dai siti web alle applicazioni crypto, erano progettati per apparire innocui. Tuttavia, una volta scaricati, installavano malware in grado di rubare password, dati del browser e chiavi dei portafogli di criptovalute. Socket ha affermato che la campagna, denominata “Contagious Interview“, faceva parte di un’operazione sofisticata gestita da hacker sponsorizzati dallo stato nordcoreano, i quali si spacciano per reclutatori tecnologici per prendere di mira sviluppatori attivi nei settori della blockchain, Web3 e affini.
Importanza della Sicurezza in npm
Perché è importante: npm rappresenta essenzialmente la spina dorsale del web moderno. Comprometterlo consente agli attaccanti di inserire codice malevolo in innumerevoli applicazioni downstream. Gli esperti di sicurezza avvertono da anni che tali attacchi alla supply chain software sono tra i più pericolosi nel cyberspazio, poiché si diffondono in modo invisibile attraverso aggiornamenti e dipendenze legittime.
I ricercatori di Socket hanno tracciato la campagna attraverso un cluster di nomi di pacchetti simili, versioni errate di librerie popolari come express, dotenv e hardhat, e attraverso schemi di codice collegati a famiglie di malware nordcoreano precedentemente identificate, note come BeaverTail e InvisibleFerret. Gli attaccanti hanno utilizzato script “loader” crittografati che decrittografavano ed eseguivano payload nascosti direttamente in memoria, lasciando poche tracce su disco.
Impatto e Risposte
L’azienda ha dichiarato che circa 50.000 download dei pacchetti malevoli si sono verificati prima che molti di essi venissero rimossi, anche se alcuni rimangono ancora online. Gli hacker hanno anche utilizzato falsi profili di reclutatori su LinkedIn, una tattica coerente con le precedenti campagne di cyber-spionaggio della Corea del Nord documentate dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti e precedentemente riportate in Decrypt.
“Gli obiettivi finali, secondo gli investigatori, erano macchine che detenevano credenziali di accesso e portafogli digitali.”
Sebbene i risultati di Socket siano in linea con i rapporti di altri gruppi di sicurezza e agenzie governative che collegano la Corea del Nord ai furti di criptovalute per un totale di miliardi di dollari, la verifica indipendente di ogni dettaglio, come il numero esatto di pacchetti compromessi, rimane in attesa. Tuttavia, le prove tecniche e i modelli descritti sono coerenti con incidenti precedenti attribuiti a Pyongyang.
Il proprietario di npm, GitHub, ha dichiarato di rimuovere i pacchetti malevoli non appena vengono scoperti e sta migliorando i requisiti di verifica degli account. Tuttavia, i ricercatori avvertono che il modello è simile a un gioco di “whack-a-mole“: rimuovi un insieme di pacchetti malevoli e centinaia di altri prendono presto il loro posto.
Conclusioni per gli Sviluppatori
Per gli sviluppatori e le startup crypto, questo episodio sottolinea quanto sia vulnerabile diventata la supply chain software. I ricercatori di sicurezza esortano i team a trattare ogni comando “npm install” come una potenziale esecuzione di codice, a scansionare le dipendenze prima di integrarle nei progetti e a utilizzare strumenti di verifica automatizzati per catturare pacchetti manomessi. La forza dell’ecosistema open-source—la sua apertura—rimane la sua maggiore debolezza quando gli avversari decidono di armarlo.
