Nuova operazione malware nella catena di fornitura colpisce gli ecosistemi npm e PyPI, prendendo di mira milioni a livello globale

Attacco alla catena di fornitura: pacchetti compromessi per diffondere malware

I ricercatori di cybersecurity hanno individuato un attacco alla catena di fornitura che ha preso di mira oltre una dozzina di pacchetti associati a GlueStack per distribuire malware. Il codice malevolo è stato introdotto tramite una modifica al file “lib/commonjs/index.js”, consentendo agli attaccanti di eseguire comandi shell, catturare schermate e caricare file sui computer infetti. Secondo Aikido Security, questi pacchetti rappresentano collettivamente quasi 1 milione di download settimanali.

L’accesso non autorizzato potrebbe essere utilizzato per eseguire varie azioni successive, come il mining di criptovalute, il furto di informazioni sensibili e persino l’interruzione dei servizi. Aikido ha dichiarato che il primo compromesso del pacchetto è stato rilevato il 6 giugno 2025, alle 21:33 GMT.

Elenco dei pacchetti e versioni compromesse

Ecco l’elenco dei pacchetti interessati e le versioni compromesse:

• @gluestack-ui/utils versione 0.1.16 (101 download)
• @gluestack-ui/utils versione 0.1.17 (176 download)
• @react-native-aria/button versione 0.2.11 (174 download)
• @react-native-aria/checkbox versione 0.2.11 (577 download)
• @react-native-aria/combobox versione 0.2.8 (167 download)
• @react-native-aria/disclosure versione 0.2.9 (N/A)
• @react-native-aria/focus versione 0.2.10 (951 download)
• @react-native-aria/interactions versione 0.2.17 (420 download)
• @react-native-aria/listbox versione 0.2.10 (171 download)
• @react-native-aria/menu versione 0.2.16 (54 download)
• @react-native-aria/overlay versione 0.3.16 (751 download)
• @react-native-aria/radio versione 0.2.14 (570 download)
• @react-native-aria/slider versione 0.2.13 (264 download)
• @react-native-aria/switch versione 0.2.5 (56 download)
• @react-native-aria/tabs versione 0.2.14 (170 download)
• @react-native-aria/toggle versione 0.2.12 (589 download)
• @react-native-aria/utils versione 0.2.13 (341 download)

Inoltre, il codice malevolo iniettato nei pacchetti è simile al trojan di accesso remoto distribuito dopo il compromesso di un altro pacchetto npm, “rand-user-agent”, il mese scorso, suggerendo che gli stessi attori minacciosi potrebbero essere dietro l’attività. Il trojan è una versione aggiornata che supporta due nuovi comandi per raccogliere informazioni di sistema (“ss_info”) e l’indirizzo IP pubblico dell’host (“ss_ip”).

I manutentori del progetto hanno revocato il token di accesso e contrassegnato le versioni compromesse come deprecate. Si raccomanda agli utenti che potrebbero aver scaricato le versioni malevole di tornare a una versione sicura per mitigare eventuali minacce potenziali. “L’impatto potenziale è enorme e il meccanismo di persistenza del malware è particolarmente preoccupante: gli attaccanti mantengono l’accesso ai computer infetti anche dopo che i manutentori aggiornano i pacchetti”, ha dichiarato l’azienda in un comunicato.

Pacchetti malevoli su npm: funzionalità distruttive

Nel frattempo, Socket ha scoperto due pacchetti npm canaglia – express-api-sync e system-health-sync-api – che si mascherano da utilità legittime ma impiantano wiper in grado di eliminare intere directory di applicazioni. Pubblicati dall’account “botsailer” (email: anupm019@gmail[.]com), questi pacchetti rappresentano una minaccia significativa per gli sviluppatori e gli utenti finali.

Fonte: The Hackers News

​Per saperne di più