Il fatto che i repository vengano frequentemente adoperati dai malintenzionati per diffondere malware non è affatto una novità. La pratica consistente nello sfruttare malware, keylogger ecc. per intrufolarsi in pacchetti RubyGems, PyPi è stata infatti inscenata dai cracker più e più volte nel corso degli ultimi anni, facendo leva sul fatto che solitamente gli sviluppatori che se ne servono tendono a non destare sospetti nei confronti di tali risorse.
Malware: 17 pacchetti dannosi nel repository open source npm
A conferma della cosa, vi è la recente segnalazione fatta da JFrog, che ha individuato ben 17 pacchetti dannosi nel repository open source npm. La maggior parte di questi pacchetti pare essere stata diffusa dai malintenzionati inducendo gli sviluppatori a scaricare le risorse “incriminate”, con lo stesso codice e le stesse funzionalità dei pacchetti considerati “innocui”, ma con del codice nascosto al seguito che esegue azioni fraudolente.
Al riguardo, Andrey Polkovnychenko e Shachar Menashe, ricercatori di sicurezza di JFrog, hanno dichiarato quanto segue.
I repository pubblici sono diventati uno strumento utile per la distribuzione di malware: il server del repository è una risorsa affidabile e la comunicazione con esso non fa sorgere il sospetto di alcun antivirus o firewall. Inoltre, la facilità di installazione tramite strumenti di automazione come il client npm, fornisce un vettore di attacco maturo.
La maggior parte dei pacchetti dannosi individuati ha rubato credenziali o altre informazioni dai server di Discord, la piattaforma progettata per la comunicazione tra comunità di videogiocatori che però fa spesso parlare di sé per l’uso di metodi invasivi da parte dei cracker per ingannare gli utenti. I server compromessi possono essere utilizzati come mezzo di comando per botnet o come proxy durante il download dei dati.
Ti potrebbe interessare
9 dic 2021