Negli ultimi giorni la community degli sviluppatori JavaScript è stata messa in allerta per la scoperta di diversi pacchetti npm dannosi utilizzati come veicolo per attacchi di phishing e furto di credenziali. L’episodio riaccende i riflettori su uno dei punti più critici della supply chain del software: la sicurezza dei repository open source.
Secondo quanto emerso dalle analisi di vari team di sicurezza, i pacchetti compromessi si presentavano come librerie legittime o aggiornamenti minori di progetti già noti. Una volta installati, però, attivavano codice malevolo capace di intercettare token di autenticazione, chiavi API e credenziali salvate negli ambienti di sviluppo.
Come funzionava l’attacco
Il meccanismo era relativamente semplice ma efficace. I pacchetti malevoli:
- Sitecore, una chiave apre le porte agli hacker
- Cybercrime 2.0: Gli Hacker Sfruttano GitHub e FileZilla per Diffondere Malware
- Gli hacker prendono di mira i FritzBox
- imitavano nomi di librerie popolari (typosquatting)
- venivano pubblicati come nuove versioni “di manutenzione”
- eseguivano script automatici durante la fase di installazione
In alcuni casi il codice inviava i dati raccolti a server remoti controllati dagli attaccanti; in altri, reindirizzava gli sviluppatori verso false pagine di login, perfettamente simili a quelle di servizi come GitHub, npm o provider cloud.
Questo tipo di attacco è particolarmente pericoloso perché colpisce direttamente l’ambiente di sviluppo, con il rischio di propagarsi poi nelle applicazioni finali distribuite agli utenti.
La risposta di npm e della community
Il team di npm ha rimosso rapidamente i pacchetti segnalati e sospeso gli account responsabili della pubblicazione. In una nota ufficiale, la piattaforma ha ribadito l’importanza di:
- verificare l’autore e la storia dei pacchetti
- controllare le dipendenze indirette
- evitare aggiornamenti automatici non verificati
Anche diversi tool di sicurezza hanno aggiornato le proprie firme per individuare tempestivamente questo tipo di minacce.
Un problema strutturale della supply chain
Il caso non è isolato. Negli ultimi anni gli attacchi alla supply chain open source sono in costante aumento. Repository come npm, PyPI e Maven Central sono diventati obiettivi privilegiati perché:
- ospitano milioni di pacchetti
- sono utilizzati in modo automatico dai sistemi di build
- consentono una rapida diffusione del codice malevolo
Secondo recenti studi di settore, oltre il 70% delle applicazioni moderne dipende da componenti open source, rendendo ogni vulnerabilità potenzialmente amplificata su larga scala.
Le raccomandazioni per gli sviluppatori
Gli esperti di sicurezza consigliano alcune buone pratiche per ridurre il rischio:
- bloccare le versioni delle dipendenze critiche
- usare strumenti di audit automatico
- monitorare le modifiche improvvise nei pacchetti
- limitare l’uso di script post-install
Inoltre, è sempre più diffuso l’uso di repository interni o mirror verificati per controllare meglio la catena di approvvigionamento del software.
Conclusione
L’episodio dei pacchetti npm dannosi usati per attacchi phishing conferma che la sicurezza non riguarda solo il codice scritto dagli sviluppatori, ma anche — e soprattutto — quello importato dall’esterno. In un ecosistema sempre più dipendente da librerie di terze parti, la protezione della supply chain resta una delle sfide centrali della cybersecurity moderna.
