Un nuovo cyberattacco sta rubando criptovalute agli utenti mentre inviano transazioni, e molti esperti lo definiscono il più grande attacco alla supply chain della storia. Gli hacker hanno violato gli account dei maintainer dei pacchetti npm utilizzando e-mail di phishing. Queste e-mail sembravano provenire da “[email protected]“, che copiava il vero registro npm. I messaggi dicevano agli sviluppatori che i loro account sarebbero stati bloccati a meno che non avessero aggiornato la loro autenticazione a due fattori. Quando i maintainer cliccavano sul link, gli aggressori ottenevano i loro dati di accesso e inserivano malware all’interno di popolari pacchetti npm.
Diciotto librerie JavaScript ampiamente utilizzate sono state compromesse, tra cui chalk, debug e ansi-styles. Insieme, questi pacchetti ricevono miliardi di download ogni settimana e sono utilizzati da sviluppatori di tutto il mondo. Ciò significa che l’intero ecosistema JavaScript potrebbe essere stato esposto. BleepingComputer ha riferito che gli aggressori hanno iniettato codice in queste librerie che agiva come un intercettore basato su browser. Questo codice monitorava il traffico di rete e cercava transazioni crittografiche su Bitcoin, Ethereum, Solana, Tron, Litecoin e Bitcoin Cash. Quando qualcuno inviava un trasferimento, il malware sostituiva l’indirizzo del portafoglio reale con uno controllato dagli hacker prima che la transazione fosse firmata.
Il ricercatore di sicurezza Charlie Eriksen ha spiegato che il malware funziona in diversi modi. Cambia ciò che viene mostrato sui siti web, manomette le chiamate API e inganna le app facendole firmare transazioni che l’utente non intendeva. Charles Guillemet, il CTO di Ledger, ha avvertito che l’attacco è ancora attivo e ha detto che gli utenti di criptovalute dovrebbero evitare di effettuare transazioni on-chain se usano solo portafogli software. Gli utenti di portafogli hardware possono proteggersi verificando i dettagli prima di firmare, ma chiunque non ne abbia uno rischia di più.
I ricercatori hanno anche scoperto che l’infrastruttura di phishing inviava i dettagli rubati a “websocket-api2.publicvm.com”. Questo dimostra che l’attacco era ben coordinato. Segue altri incidenti npm all’inizio di quest’anno, tra cui uno a marzo che ha patchato il pacchetto ethers con una shell inversa e un altro a luglio che ha preso di mira eslint-config-prettier. La campagna continua a evolversi e, questa volta, gli aggressori hanno utilizzato contratti intelligenti Ethereum in un nuovo modo. Due pacchetti npm chiamati colortoolsv2 e mimelib2 hanno nascosto comandi dannosi all’interno dei contratti intelligenti Ethereum. Una volta scaricati, i pacchetti hanno installato malware di seconda fase, rendendo più difficile il rilevamento.
I contratti intelligenti Ethereum sono piccoli programmi che vengono eseguiti sulla blockchain. Sono pubblici e agiscono come API aperte. In questo caso, gli hacker li hanno usati per memorizzare i link per scaricare il malware, quindi, anche se qualcuno controllava il pacchetto, potrebbe non vedere il codice pericoloso. Questo metodo creativo di comando e controllo mostra come gli attori delle minacce si stanno adattando per evitare il rilevamento.
Gli aggressori hanno anche cercato di rendere i loro repository GitHub degni di fiducia. Hanno creato progetti falsi come solana-trading-bot-v2 ed ethereum-mev-bot-v2. Questi avevano molte stelle, osservatori e commit, ma la maggior parte di questa attività era falsa. Gli account sono stati creati nello stesso momento, spesso con un solo file, e i commit automatizzati hanno gonfiato i numeri. Questo trucco di ingegneria sociale ha fatto sembrare reali i repository per gli sviluppatori che potrebbero includere i pacchetti npm dannosi nel loro lavoro.
Gli esperti avvertono che gli attacchi alla supply chain sono particolarmente pericolosi perché prendono di mira strumenti fidati. Nascondendo malware all’interno di librerie open source, gli hacker possono raggiungere milioni di sviluppatori e utenti finali contemporaneamente. Solo quest’anno, i ricercatori hanno scoperto più di venti campagne su npm, GitHub e PyPI volte a rubare criptovalute. Alcuni hanno usato infostealer, altri hanno implementato minatori di monete e molti si sono affidati al phishing per acquisire dati sensibili.
Gli Indicatori di Compromissione (IOC), come domini sospetti, codice offuscato e repository falsi, aiutano i team di sicurezza a rilevare queste minacce. Tuttavia, molti utenti non si accorgeranno di nulla finché i fondi non saranno spariti. Per ora, gli sviluppatori devono controllare attentamente pacchetti, maintainer e codice prima dell’uso. Gli utenti di criptovalute dovrebbero prendere in considerazione i portafogli hardware ed evitare di effettuare trasferimenti ingenti finché la minaccia non sarà sotto controllo. L’attacco mostra quanto velocemente si sta evolvendo la criminalità informatica e quanto sia importante proteggere sia le supply chain del software che gli asset digitali.
