Nuovo attacco npm: pacchetti locali compromessi con backdoor
Un recente attacco informatico ha messo in evidenza una nuova tattica pericolosa nel panorama della sicurezza informatica. Due pacchetti malevoli, denominati “ethers-provider2” e “ethers-providerz”, sono stati scoperti su npm (Node Package Manager). Questi pacchetti sfruttano una tecnica sofisticata per compromettere pacchetti legittimi installati localmente, introducendo una backdoor persistente.
Come funziona l’attacco
I pacchetti malevoli agiscono in più fasi:
- Installazione iniziale: Quando uno dei pacchetti viene installato, un file di script modificato scarica un payload da un server remoto.
- Compromissione locale: Il payload monitora l’installazione di pacchetti npm legittimi, come “ethers”, e sostituisce file chiave con versioni trojanizzate.
- Persistenza: Anche se il pacchetto malevolo viene rimosso, la backdoor rimane attiva, garantendo agli attaccanti un accesso continuo.
Implicazioni per la sicurezza
Questo attacco rappresenta un’evoluzione nelle minacce alla supply chain del software. Nonostante il numero limitato di download, il rischio è significativo, soprattutto se tali tecniche venissero applicate a pacchetti più popolari.
Come proteggersi
- Verifica dei pacchetti: Controllare sempre la legittimità dei pacchetti e dei loro sviluppatori.
- Analisi del codice: Esaminare il codice per individuare comportamenti sospetti, come chiamate a server esterni.
- Strumenti di rilevamento: Utilizzare regole di sicurezza, come quelle fornite da ReversingLabs, per identificare minacce residue.
Questo incidente sottolinea l’importanza di una vigilanza costante e di pratiche di sicurezza rigorose nell’ecosistema open-source.
