Dopo l’info-stealer e l’estensione fasulla di Chrome nascosti nei pacchetti PyPI è il turno di NPM, un popolare package manager per JavaScript. I ricercatori di Check Point Software hanno scoperto 16 pacchetti nel registry NPM che nascondevano crypto miner, ovvero malware che sfruttano le risorse del computer per generare monete digitali. In seguito alla segnalazione, GitHub ha subito rimosso i pacchetti.
Crypto miner nei pacchetti NPM
Il cryptojacking è una tecnica molto utilizzata dai cybercriminali per ottenere profitti sfruttando le risorse di calcolo dei computer sui quali è installato il crypto miner. Questi ultimi possono essere distribuiti in diversi modi. Quello scoperto da Check Point Software prevede l’uso di 16 pacchetti NPM che, in apparenza, servono per testare la velocità della connessione ad Internet.
Tutti i pacchetti sono stati generati dallo stesso utente, ma il codice è differente. Inoltre alcuni pacchetti includono direttamente l’eseguibile del miner, mentre altri scaricano il payload da un server remoto. Probabilmente l’autore ha effettuato varie prove per verificare la soluzione più efficace che poteva aggirare eventuali controlli.
Ad esempio, il pacchetto speedtestspa
scarica un helper da GitLab e lo usa per il collegamento al crypto mining pool. Invece il pacchetto speedtestkas
include già il malware. Tutti i pacchetti sono stati pubblicati il 17 gennaio. In seguito alla segnalazione, GitHub (proprietario del registry) ha eliminato i pacchetti il giorno dopo.
Gli sviluppatori dovrebbero sempre esaminare il codice prima di aggiungerlo ai loro progetti, anche se prelevato da repository teoricamente affidabili, come NPM o PyPI.