Hacker compromettono l’account di uno sviluppatore NPM installando malware in librerie JavaScript scaricate oltre due miliardi di volte.
Secondo quanto riportato dalla piattaforma di intelligence Security Alliance, i cybercriminali dietro l’attacco NPM (Node Package Manager) sono riusciti a sottrarre meno di $50 in criptovalute finora.
Come si è sviluppato l’attacco
Dopo aver violato l’account NPM di Josh Goldberg, un noto maintainer open source conosciuto come “Qix”, l’attacco ha preso di mira specificamente i wallet Ethereum e Solana, secondo quanto riferito da Security Alliance. I malintenzionati hanno infiltrato malware all’interno di librerie JavaScript note, già scaricate da oltre un miliardo di utenti.
Nonostante la portata dell’attacco, il ricavato è stato piuttosto modesto. Security Alliance ha identificato l’indirizzo Ethereum “0xFc4a48” come l’unico indirizzo malevolo utilizzato finora nell’operazione.
Il ricercatore di sicurezza Samczsun di SEAL ha commentato:
“Immaginate di compromettere l’account di uno sviluppatore NPM i cui pacchetti vengono scaricati più di due miliardi di volte a settimana. Potreste avere accesso illimitato a milioni di postazioni di sviluppo, eppure il profitto è stato inferiore a $50”.
L’esperto ha paragonato la situazione a “trovare la tessera magnetica di Fort Knox e usarla come segnalibro”.
Dettagli del bottino
Inizialmente, l’attacco aveva fruttato soltanto cinque centesimi in Ether (ETH), cifra poi salita a circa $20 nel corso delle ore successive. I dati di Etherscan mostrano che l’indirizzo malevolo ha ricevuto diverse memecoin, tra cui Brett (BRETT), Andy (ANDY), Dork Lord (DORK), Ethervista (VISTA) e Gondola (GONDOLA).
Meccanismo tecnico
L’attacco ha colpito pacchetti fondamentali come chalk, strip-ansi e color-convert – piccole utility radicate negli alberi delle dipendenze di innumerevoli progetti. Anche gli sviluppatori che non li avevano installati direttamente potrebbero essere stati esposti.
Il malware utilizzato nell’attacco sembra essere un crypto-clipper, un tipo di software malevolo che sostituisce gli indirizzi dei wallet durante le transazioni per dirottare i fondi.
Diversi provider di wallet hanno confermato di non essere stati compromessi dall’attacco. Ledger e MetaMask hanno dichiarato le loro piattaforme sicure, citando “molteplici livelli di difesa” contro questo tipo di attacchi.
Anche Phantom Wallet ha confermato di non utilizzare versioni vulnerabili dei pacchetti compromessi nell’attacco, mentre Uniswap ha precisato che nessuna delle sue applicazioni è a rischio. Altre piattaforme e wallet come Aerodrome, Aqua, BitBox02, Bitcoin Keeper, Blast, Blockstream Jade, Blue Wallet, Bull Bitcoin Wallet, Coldcard, Cove Wallet, Electrum, Foundation Devices, Nunchuk, Revoke.cash, Seedsigner, Sparrow, Specter, Trezor e Wasabi Wallet hanno confermato di non essere state colpite.
Raccomandazioni post-attacco
Il fondatore pseudonimo di DefiLlama, 0xngmi, ha specificato che solo i progetti aggiornati dopo la pubblicazione del pacchetto NPM infetto potrebbero essere a rischio dall’attacco. Tuttavia, anche in questi casi, gli utenti devono approvare manualmente la transazione malevola perché questa abbia effetto.
«Se usi un hardware wallet, presta attenzione a ogni transazione prima di firmare e sei al sicuro», ha affermato Charles Guillemet, Cto di Ledger.
Come misura precauzionale, diversi esperti raccomandano di evitare temporaneamente l’uso di siti web crypto fino a quando gli sviluppatori non avranno ripulito completamente i pacchetti compromessi dall’attacco.
