Un codice malevolo nella componente NPM di javascript. Impatti devastanti.
Il componente NPM (Node Package Manager) è il gestore di pacchetti ufficiale che viene installato con la piattaforma Node. js. Si tratta di un’interfaccia a riga di comando (CLI) che aiuta nell’installazione dei pacchetti, nella gestione delle versioni e nella gestione delle dipendenze. Tale componente è normalmente utilizzato dagli sviluppatori per supportare la condivisione del codice JavaScript.
Le ultime notizie riportano che NPM sia diventato il veicolo di un codice malevolo denominato TurkoRat, in grado di raccogliere credenziali e cookie di siti web e rubare criptovalute e dati ad esse collegati.
Tipicamente, i RAT (Remote Access Trojan) sono malware che consentono ai cyber criminali di monitorare e controllare i PC delle vittime creando una backdoor che garantisce l’accesso remoto al sistema. Si installa all’insaputa dell’utente allo scopo di spiare, dirottare o distruggere un sistema informatico.
I pacchetti dannosi, denominati nodejs-encrypt-agent , nodejs-cookie-proxy-agent e axios-proxy, si “mascherano” da moduli NPM legittimi, che sono utilizzati in maniera massiva (oltre 30 milioni di download) dalle comunità di sviluppo di siti web in tutto il mondo: i criminali informatici, inoltre, sembra siano riusciti a creare dei “collegamenti” dei malware anche verso la piattaforma GitHub, nata per ospitare progetti software e basata sul software open source Git.
Alcuni dei principali comportamenti dannosi identificati includono anche la capacità di scrivere ed eliminare oggetti dalle directory di sistema di Windows, eseguire comandi e manomettere le impostazioni DNS.
Lo scenario di quanto accaduto è un esempio di “Typosquatting”, un metodo di attacco in cui gli aggressori registrano nomi di pacchetti con nomi uguali a quelli legittimi (con l’unica differenza nell’utilizzo di lettere maiuscole), o con nomi molto simili: una tipologia di attacchi spesso utilizzata dagli attori delle minacce per attacchi alla catena di approvvigionamento tramite pacchetti open source che inducono gli sviluppatori a scaricare codice potenzialmente non attendibile.
Massima allerta in tutto il mondo, quindi: è evidente come il pericolo di diffusione del codice malevolo sia elevatissimo, con impatti potenzialmente devastanti che possono estendersi a numerosissimi attori che utilizzano suite open source per la creazione di siti web e software. Attenzione massima e strategia di cyber per la parte di sviluppo software e per chi acquista software dall’esterno.
Fonte: https://www.databreachtoday.com/open-source-info-stealer-rat-hides-in-malicious-npm-packages-a-22122