I ricercatori di Aikido Security hanno scoperto che 18 popolari pacchetti npm sono stati utilizzati per intercettare le transazioni effettuate con varie criptovalute. Il codice JavaScript infetto è stato aggiunto da ignoti cybercriminali dopo aver ottenuto le credenziali dell’account dello sviluppatore tramite phishing.
Malware nei pacchetti npm
Quello sfruttato dai cybercriminali è un classico attacco supply chain. Invece di infettare direttamente i dispositivi hanno “iniettato” il malware in 18 popolari pacchetti npm (Node Package Manager) che complessivamente hanno oltre 2,6 miliardi di download a settimana. Lo sviluppatore (Josh Junon) ha confermato di aver cliccato il link presente in un’email.
I cybercriminali hanno inviato un’email che sembrava provenire dal supporto tecnico di npm (sussidiaria di GitHub, a sua volta sussidiaria di Microsoft). Nel messaggio era scritto che lo sviluppatore doveva aggiornare le credenziali dell’autenticazione in due fattori entro il 10 settembre, altrimenti l’account sarebbe stato bloccato per impedire accessi non autorizzati.
Ovviamente le credenziali sono finite nelle mani dei cybercriminali che prontamente hanno preso il controllo dell’account dello sviluppatore. Nei 18 pacchetti npm è stato nascosto il codice JavaScript che intercetta il traffico di rete e le API. Quando le ignare vittime accedono alle applicazioni compromesse tramite browser, il malware ruba le criptovalute cambiando l’indirizzo di destinazione dei pagamenti. In particolare rileva le transazioni in Bitcoin, Ethereum, Solana, Tron, Litecoin e Bitcoin Cash.
Tutti i pacchetti npm sono stati rimossi. Lo sviluppatore ha ripreso il controllo dell’account e pubblicato versioni “pulite” dei pacchetti.
Ti potrebbe interessare
9 set 2025