Cybersecurity
Attacco alla supply chain NPM: cosa è successo e come risolverlo
Securities.io mantiene rigorosi standard editoriali e potrebbe ricevere compensi per i link recensiti. Non siamo consulenti finanziari registrati e questo non costituisce consulenza finanziaria. Si prega di consultare il nostro divulgazione di affiliati.
Il settore delle criptovalute e il mondo in generale hanno recentemente vissuto un momento di scossa quando gli esperti di sicurezza hanno identificato un attacco alla supply chain che aveva preso di mira l'ecosistema Node.js e che aveva già compromesso ben 18 pacchetti npm.
Questo perché questi pochi pacchetti registrano miliardi di download ogni settimana.
Pacchetti software sono utilizzati per distribuire software di terze parti. Spesso prelevati da una fonte esterna tramite un gestore di pacchetti, di solito includono codice sorgente, librerie, documentazione e altri file necessari per compilare ed eseguire il software.
Ora, un pacchetto contenente malware si maschera da legittimo, quando in realtà è dannoso e ha l'intento di infettare il software. Una volta entrato in un sistema, il malware nel pacchetto dannoso può modificare i file, rubare datie persino assumere il controllo di un intero sistema per fare ciò che desidera l'attaccante.
Mentre altri importanti ecosistemi open source come Python e .NET sono altrettanto vulnerabili agli attacchi, l'ampio utilizzo di JavaScript lo rende particolarmente esposto ai criminali informatici.
Node.js è un ambiente di runtime open source basato su JavaScript che consente agli sviluppatori di eseguire il proprio codice al di fuori del browser web.
Tradizionalmente, il linguaggio di programmazione interpretato, noto soprattutto per aver contribuito a rendere interattive le pagine web, è stato utilizzato principalmente per lo sviluppo web lato client all'interno dei browser, ma Node.js ha esteso l'uso di JavaScript alle applicazioni lato server e ad altre applicazioni.
Con Node.js, gli sviluppatori possono creare applicazioni rapide e scalabili come server web, API, strumenti e molto altro.
Trae vantaggio da un vasto ecosistema di librerie e strumenti open source disponibili tramite npm, che semplifica lo sviluppo e fornisce soluzioni per varie funzionalità.
Node Package Manager, o npm, è uno strumento chiave nello sviluppo JavaScript, che viene usato per trovare, creare e gestire pacchetti di codice. Aiuta a gestire le dipendenze, a favorire la collaborazione e a semplificare i flussi di lavoro.
Il più grande registro software del mondo contiene oltre 3 milioni di pacchetti di codice ed è completamente gratuito.
Chiunque può scaricare tutti i pacchetti software pubblici di npm senza doversi registrare. Gli sviluppatori open source utilizzano npm per condividere e prendere in prestito software, mentre molte organizzazioni lo utilizzano per gestire lo sviluppo privato.
Per installare npm sul tuo computer, devi prima installare Node.js.
Il gestore di pacchetti per JavaScript è gestito da npm, Inc., una sussidiaria di GitHub, la piattaforma di sviluppo software leader al mondo, di proprietà di Microsoft dal 2018, quando il colosso della tecnologia l'ha acquisita per 7.5 miliardi di dollari per dare più potere agli sviluppatori.
La scorsa settimana, lo strumento su cui fanno affidamento oltre 17 milioni di sviluppatori in tutto il mondo è stato compromesso, scatenando il panico su Internet, anche se solo per un breve momento, poiché gli esperti lo hanno individuato in anticipo e gli aggressori non sono riusciti a rubare più di 50 dollari. Ecco cosa è successo!
Cosa è successo nell'attacco alla supply chain dell'NPM (settembre 2025)
Nel massiccio attacco alla supply chain che ha avuto luogo sull'ecosistema JavaScript, gli hacker hanno compromesso una serie di pacchetti npm con malware. L'obiettivo dell'attacco era rubare risorse digitali a utenti ignari.
In particolare, è stato hackerato l'account npm dello sviluppatore 'qix'.
Qix è un account di manutenzione open source che è stato compromesso tramite un attacco di phishing. Questo ha permesso agli aggressori di infettare 18 popolari pacchetti npm con codice dannoso. Insieme, questi pacchetti vengono scaricati centinaia di milioni di volte solo su base settimanale poiché sono incorporati nei framework, negli strumenti per sviluppatori e nei servizi di produzione.
I pacchetti interessati includono chalk, debug, color-name, wrap-ansi e ansi-styles, che sono tra i più popolari, mentre i pacchetti npm interessati meno popolari sono backslash, chalk-template e has-ansi.
Scorri per scorrere →
| CONFEZIONE | Versione/i compromessa/e | Action |
|---|---|---|
| mettere a punto | 4.4.2 | Aggiungi alla versione pre-4.4.2; reinstalla; scansiona i registri di build |
| gesso | 5.6.1 | Aggiungi a pre-5.6.1; ridistribuisci build pulita |
| stili ansi | 6.2.2 | Aggiungi alla versione precedente alla 6.2.2; audit dei dipartimenti a valle |
| ansi-regex | 6.2.1 | Aggiungi a pre-6.2.1 |
| strip-ansi | 7.1.1 | Aggiungi a pre-7.1.1 |
| wrap-ansi | 9.0.1 | Aggiungi a pre-9.0.1 |
| colore, conversione colore, stringa colore, nome colore | 5.0.1 / 3.1.1 / 2.1.1 / 2.0.1 | Aggiungi alle versioni preelencate; blocca nuovamente e ricostruisci |
| ha-ansi, supporta-colore, slice-ansi | 6.0.1 / 10.2.1 / 7.1.1 | Aggiungi alle versioni preelencate |
| barra rovesciata, is-arrayish, error-ex, simple-swizzle, chalk-template, supports-hyperlinks | 0.2.1 / 0.3.3 / 1.3.3 / 0.2.3 / 1.1.1 / 4.1.1 | Aggiungi alle versioni preelencate |
| duckdb, @duckdb/node-api, @duckdb/node-bindings, @duckdb/duckdb-wasm | 1.3.3 / 1.3.3 / 1.3.3 / 1.29.2 | Evita le versioni elencate; attendi gli aggiornamenti del fornitore |
Tutti i pacchetti interessati sono stati da allora stato rimosso dal registro npm. Compromettendo un manutentore open source di alto valore, l'attacco ha trasformato la fiducia nell'ecosistema del software open source (OSS) in un'arma, poiché gli sviluppatori non verificano ogni dipendenza usano. Ciò che fanno è fare affidamento sul loro utilizzo e sulla loro reputazione, così come la sicurezza dei registri.
Per compromettere i pacchetti, l'hacker ha utilizzato la strategia del phishing. L'aggressore ha prima lanciato una campagna di phishing per dirottare l'account di un responsabile del pacchetto npm, quindi ha iniettato il suo codice dannoso nei pacchetti npm prima di caricarne le versioni compromesse.
Lo sviluppatore Josh Junon è stato vittima di un'email di phishing, parte di una campagna più ampia che imitava npm. Gli aggressori hanno utilizzato un sito di phishing che imitava la pagina di login di npm per rubare le sue credenziali. Non appena sono riusciti ad accedere, hanno bloccato Junon modificando l'indirizzo email registrato per il suo account npm.
"Ciao, sì, sono stato pwnato. Scusate tutti, è stato molto imbarazzante." ha scritto Junon su HackerNews ha confermato l'incidente. Ha spiegato prima di chiarire che solo npm è stato interessato:
"A prima vista sembrava tutto a posto. Non sto cercando scuse, ho avuto una settimana lunga e una mattinata frenetica e stavo solo cercando di togliere qualcosa dalla mia lista di cose da fare. Ho fatto l'errore di cliccare sul link invece di andare direttamente al sito."
L'e-mail di phishing proveniva da support [at] npmjs [dot] help e utilizzava una tattica intimidatoria per indurre Junon a cliccare sul collegamento, che lo reindirizzava al sito di phishing.
Fingendosi di essere di npm, gli aggressori gli hanno chiesto di aggiornare le sue credenziali 2FA, sostenendo di far parte di un "impegno continuo per la sicurezza dell'account" e che stanno richiedendo lo stesso a tutti gli utenti.
"I nostri archivi indicano che sono trascorsi più di 12 mesi dall'ultimo aggiornamento 2FA", si leggeva nell'e-mail di phishing, aggiungendo che coloro che avevano "credenziali 2FA obsolete verranno temporaneamente bloccati a partire dal 10 settembre 2025, per impedire accessi non autorizzati".
Migliori stessa email è stato anche utilizzato per prendere di mira altri sviluppatori e manutentori di pacchetti.
Dato l'ampio utilizzo dei pacchetti interessati, questo avrebbe potuto trasformarsi in un incidente grave se non era stato gestito così in fretta.
Come Charlie Erickson di Aikido Security annotato in un rapporto, innumerevoli siti web hanno evitato danni molto gravi a causa di questo attacco, in cui i pacchetti npm contenevano un pezzo di codice che veniva eseguito sul client di un sito web.
"Questo malware è essenzialmente un intercettore basato su browser che dirotta sia il traffico di rete che le API delle applicazioni", ha affermato nella sua analisi dell'attacco. "Ciò che lo rende pericoloso è che opera a più livelli: alterando i contenuti mostrati sui siti web, manomettendo le chiamate API e manipolando ciò che le app degli utenti credono di firmare. Anche se l'interfaccia sembra corretta, la transazione sottostante può essere reindirizzato sullo sfondo."
Il codice maligno è stato progettato per rubare criptovalute. L'aggressore analizza le stringhe alla ricerca di indirizzi di portafogli crittografici, mettendo a rischio coloro che lavorano su applicazioni correlate alle criptovalute.
Il malware ha agito silenziosamente all'interno del browser, senza che l'utente se ne accorgesse, riscrivendo gli indirizzi dei wallet e reindirizzando i fondi verso conti controllati dall'aggressore. Ha dirottato e manipolato direttamente le transazioni Bitcoin. (BTC ), Ethereum (ETH ), Solana (SOL ), Tron (TRX ), litecoin (LTC )e Bitcoin Cash (BCH ) su un sistema compromesso.
Per fare ciò, il codice dannoso monitorava le interfacce di programmazione delle applicazioni del browser come interfacce di fetch e wallet come window.ethereum.
Il codice dannoso “intercetta silenziosamente l’attività crittografica e Web3 nel browser, manipola le interazioni del portafoglio e riscrive le destinazioni di pagamento in modo che i fondi e le approvazioni vengono reindirizzati agli account controllati dagli aggressori senza lasciare alcun segno evidente all'utente", ha affermato Erickson.
Una volta terminato, il malware copre le sue tracce, pur continuando a operare in background per intercettare eventuali transazioni future sulla rete della vittima ignara.
Data la gravità dell'attacco, Charles Guillemet, CTO del fornitore di hardware wallet Ledger, ha avvertito gli utenti di criptovalute di essere cauti nel confermare le transazioni on-chain. I pacchetti interessati, ha... annotato nel post, sono già stati scaricati oltre 1 miliardo di volte.
L'attacco su larga scala alla catena di approvvigionamento, ha condiviso con la comunità, sta prendendo di mira portafogli software crittografici con , il payload dannoso che “scambia silenziosamente indirizzi crittografici al volo per rubare fondi”.
"Se utilizzi un portafoglio hardware, presta attenzione a ogni transazione prima di firmare e sarai al sicuro. Se non utilizzi un portafoglio hardware, per ora evita di effettuare transazioni on-chain."
– Guillemet
Nel frattempo, 0xngmi, il fondatore pseudonimo di DefiLlama, una piattaforma di analisi crittografica, si è rivolto a X, per Share che “l’area di impatto effettivo è molto più piccola di “tutti i siti web”, poiché solo quei progetti potrebbero essere a rischio che sono stati aggiornati dopo il pacchetto npm infetto da malware è stato pubblicatoTuttavia, "è più sicuro evitare di usare siti web di criptovalute finché la situazione non si sarà calmata e non avranno eliminato i pacchetti dannosi", ha aggiunto.
Alla fine, gli hacker sono riusciti a rubare solo 50 dollari in criptovalute da un attacco così massiccio alla supply chain. I 50 dollari coinvolgono Ether e un mucchio di monete meme come Brett e Andy, tra le altre.
Tuttavia, è stata più fortuna che altro, poiché la piattaforma di intelligence crittografica Security Alliance annotato su X:
"Avrebbe potuto andare molto peggio. Una backdoor installata furtivamente che prendeva di mira i computer degli sviluppatori con un focus sulla persistenza avrebbe potuto rimanere inosservata per chissà quanto tempo."
Da allora, molti applicazioni crittografiche come AAVE, Uniswap, Ledger, Giove, MetaMask, Fantasma, Esplosionee altri hanno comunicato al loro pubblico di essere al sicuro dall'attacco npm.
Sebbene l'attacco sia fallito, è un duro promemoria per gli sviluppatori che, per la massima sicurezza, devono andare oltre la propria base di codice. Anche le dipendenze software che sono state considerate affidabili e ampiamente utilizzate possono... essere compromesso in ogni momento.
Anche in questo caso, le piattaforme di programmazione come GitHub e npm devono impegnarsi di più per garantire la sicurezza dei pacchetti ampiamente utilizzati.
“I pacchetti più popolari dovrebbero richiedere un'attestazione che attesti che provengono da una fonte attendibile e non da una fonte casuale su Internet.”
– Eriksen
Dopotutto, la compromissione del repository del codice può rivelarsi estremamente disastrosa per gli sviluppatori, che potrebbero ritrovarsi ad abbandonare completamente i loro progetti a causa di un incidente del genere.
L'incidente è una dimostrazione di quanto l'ecosistema software odierno sia interconnesso e vulnerabile allo sfruttamento. Un singolo account compromesso può offrire agli aggressori una portata enorme, rendendo fondamentale implementare misure di sicurezza della supply chain migliorate in ogni fase del processo di sviluppo.
Protezione contro la minaccia crescente del malware
Con le minacce malware in aumento e , il attacchi sempre più avanzati e mirati, è importante per gli utenti be educato e essere sempre vigile su tutte le piattaforme.
Il software dannoso o malware è in realtà uno dei tipi più comuni di attacchi informatici. In questo caso, gli aggressori sviluppano un codice software o un programma per computer con l'intenzione di ottenere l'accesso o danneggiare il computer della vittima senza che quest'ultima sappia di averlo fatto. stato compromesso.
Ogni anno, miliardi di attacchi malware si verificano in tutto il mondo su tutti i tipi di dispositivi e sistemi operativi. Utilizzando i malware, i criminali informatici tengono in ostaggio non solo i dispositivi, ma intere reti aziendali.
Ottenendo l'accesso non autorizzato ai dispositivi della vittima, gli aggressori rubano risorse digitali e dati sensibili, tra cui credenziali di accesso, numeri di carte di credito e altre informazioni preziose. Gli attacchi malware prendono sempre più di mira le aziende, poiché queste ultime detengono ingenti quantità di dati personali, che gli hacker possono sfruttare per estorcere ingenti somme di denaro.
I dati mostrano che il la maggioranza (59%) delle organizzazioni è stata oggetto di un simile attacco nel 2024. Anche le aziende più piccole non sono al sicuro: il 47% di esse è stato colpito da ransomware lo scorso anno. Nel frattempo, il pagamento medio del riscatto è aumentato del 500%, raggiungendo i 2 milioni di dollari in questo periodo.
Anche il costo medio per il ripristino dopo un attacco malware è salito fino a 2.73 milioni di dollari. Una delle minacce più grandi che Internet deve attualmente affrontare è il malware, che può assumere varie forme forme con l'unico scopo di danneggiare i sistemi informatici e i loro utenti.
Virus, ransomware, trojan, worm, spyware, adware e cryptojacking sono tutti diversi tipi di malware. Tutti questi sono progettati per ottenere l'accesso non autorizzato a una rete o danneggiare i sistemi informatici.
Quando si tratta delle cause profonde degli attacchi, il maggiore al 32% sono gli aggressori che sfruttano le vulnerabilità, seguiti dalle credenziali compromesse (29%) e dalle e-mail dannose (23%).
Adesso, ad appena come si può prevenire questa minaccia sempre presente? Il primo e più semplice passo è mantenere sempre aggiornati il computer e il software. Inoltre è fondamentale che tu non andare in giro cliccando praticamente su qualsiasi cosa su Internet. Soprattutto come utente di criptovalute, bisogna essere diffidenti nei confronti dei link e non scaricare assolutamente nulla di cui non si è sicuri.
Lo stesso vale per gli allegati email. Fai attenzione ad aprire email sospette e cerca di ridurre al minimo la condivisione di file. È prudente installare un software antivirus sul tuo dispositivo.
Sebbene sia inevitabile, le organizzazioni possono anche prepararsi agli attacchi malware rafforzando le proprie difese. I modi più semplici per farlo sono utilizzare password complesse, autenticazione a più fattori e VPN, che gli individui possono utilizzare anche per proteggersi in modo più efficace..
Le organizzazioni devono monitorare costantemente i dispositivi per individuare eventuali segnali di attività sospette, valutare eventuali vulnerabilità ed eseguire test di penetrazione. Nel frattempo, i backup dei dati sensibili su unità disconnesse dalla rete aiuteranno nel ripristino da attacchi malware.
I dipendenti devono farlo essere addestrato a spot tali attacchi better e rispondere rapidamente avendo piani di risposta agli incidenti e sapendo chi contattare su sospettare una minaccia malware.
Utilizzando l'architettura di rete Zero Trust, le aziende possono garantire che nessuno possa accedere a dati o risorse in modo inappropriato. In Zero Trust, gli utenti non sono mai considerati attendibili e sono sempre verificati.
Nell'iper-digitale odierno life, queste pratiche possono aiutare prima salvaguardia se stessi contro i pericoli di un mondo sempre più interconnesso.
Quando si tratta di proteggersi dai pacchetti dannosi, le raccomandazioni generali sulla sicurezza dei malware si applicano anche agli attacchi npm, ma di Naturalmente, ci sono ulteriori precauzioni specifiche che è opportuno prendere, poiché l'ecosistema è particolarmente vulnerabile a causa della sua natura aperta, del riutilizzo massiccio di piccoli pacchetti e dei grandi alberi delle dipendenze.
Per proteggersi da questa grave minaccia, è necessario verificare sempre che il pacchetto sia affidabile prima di installarlo. Verificare l'integrità del pacchetto garantirà che l'albero delle dipendenze non sia stato manomesso.
Quando si cercano segni di illegittimità, oltre alla fonte e alla proprietà del pacchetto, esaminare eventuali modifiche apportate ai manutentori. sentirti può anche vuole esaminare a cosa servono i pacchetti e la loro utilità.
Utilizzare strumenti di sicurezza che monitorino costantemente le nuove minacce e forniscano consigli pratici per mitigare la situazione. è possibile eseguire controlli di audit npm per vulnerabilità note nelle dipendenze del progetto. L'implementazione di scansioni di sicurezza automatizzate prima della distribuzione, nel frattempo, garantirà che solo il codice revisionato e approvato entri in produzione.
Ora, per proteggerti dall'ultimo attacco malware, devi bloccare i pacchetti interessati alle loro versioni più sicure prima della compromissione tramite la funzionalità di override in package.json.
Esegui npm audit o utilizza strumenti di analisi della composizione del software (SCA) per verificare la presenza di versioni interessate nell'albero delle dipendenze. Monitora eventuali indicatori di compromissione (IoC) controllando i log delle build, gli ambienti di sviluppo e il traffico in uscita per individuare attività sospette.
Considerazioni finali: rafforzamento delle dipendenze open source
Le minacce su Internet sono in costante aumento e diventano sempre più sofisticate.
Con attaccanti svolta a nuovi vettori di attacco e mira progetti con risorse insufficienti, sta diventando fondamentale per sviluppatori, aziende e utenti non aspettare che la minaccia si manifesti apparire prima recitazione, ma a fare misure proattive perché uno il collegamento debole può prendere nota un intero sistema.
Ciò avviene restando informati sulle minacce emergenti e verificando costantemente le catene di fornitura del software e monitorando le minacce possiamo davvero proteggerci dai rischi informatici in continua evoluzione.
