Attacco supply-chain su npm minaccia l’intero ecosistema JavaScript

Un attacco senza precedenti ha colpito il cuore della supply chain del software, minacciando la sicurezza di milioni di progetti e mettendo a rischio l’integrità di un intero ecosistema.

Nelle ultime ore, la comunità di sviluppatori si è trovata a fronteggiare una delle crisi più gravi mai registrate nella storia dell’open source, con ripercussioni potenzialmente devastanti per migliaia di applicazioni e servizi che ogni giorno fanno affidamento su componenti condivisi e librerie pubbliche. Al centro di questo evento critico vi è la compromissione di venti pacchetti npm, fondamentali per l’ecosistema JavaScript.

L’incidente ha origine da un singolo account violato tramite un sofisticato attacco di phishing, che ha consentito agli aggressori di iniettare 280 righe di codice malevolo in pacchetti strategici. Si stima che oltre 2 miliardi di aggiornamenti settimanali siano stati potenzialmente esposti a questa minaccia, mettendo in pericolo un numero incalcolabile di progetti che dipendono, anche indirettamente, da questi componenti compromessi.

Attacco phishing mette a rischio l’universo JavaScript

Tutto ha avuto inizio quando Josh Junon, noto nella comunità come Qix, è stato vittima di un attacco di phishing particolarmente credibile. Un messaggio apparentemente legittimo, che sembrava provenire dal team di supporto ufficiale, lo ha invitato a verificare la propria autenticazione a due fattori attraverso un link che rimandava a un dominio fraudolento: support.npmjs.help. Convinto della genuinità della richiesta, Junon ha inserito le proprie credenziali su un sito web perfettamente camuffato, permettendo così ai criminali informatici di prendere il controllo del suo account.

La rapidità d’azione degli attaccanti è stata impressionante: nel giro di un’ora dal furto delle credenziali, sono state pubblicate nuove versioni infette di pacchetti chiave, progettate per intercettare e dirottare transazioni di criptovalute. La scelta dei pacchetti non è stata casuale, ma mirata a colpire componenti basilari dell’ecosistema JavaScript, garantendo così una diffusione massiva del codice dannoso e un impatto a catena su una vasta gamma di applicazioni, librerie e framework.

Gli analisti di Socket, azienda leader nel settore della cybersecurity, hanno sottolineato come la compromissione dell’account di Qix abbia rappresentato un punto di accesso privilegiato per gli attaccanti. Gli hacker hanno così potuto pubblicare versioni malevole di pacchetti da cui dipendono indirettamente moltissimi progetti, amplificando esponenzialmente la portata dell’attacco. “Compromettendo Qix, gli attaccanti hanno avuto la possibilità di pubblicare versioni infette di pacchetti da cui dipendono innumerevoli applicazioni, librerie e framework”, spiegano gli esperti di Socket.

L’episodio ha messo in evidenza le fragilità intrinseche dell’open source e l’importanza di garantire la sicurezza dei repository pubblici. La fiducia nei manutentori dei pacchetti, elemento cardine dell’ecosistema, si è rivelata un punto debole facilmente sfruttabile dagli attori malevoli. La discussione si è rapidamente spostata sulla necessità di introdurre controlli più rigorosi e di rafforzare le procedure di verifica dell’identità e della autenticazione a due fattori, soprattutto per chi gestisce componenti critici.