Netcrook Logo
👤 SECPULSE
🗓️ 25 Feb 2026  

Macchinatori della Supply Chain: dentro gli attacchi con pacchetti malevoli che prendono di mira gli sviluppatori in tutto il mondo

Pacchetti NuGet e npm malevoli stanno dirottando silenziosamente gli ambienti degli sviluppatori per rubare credenziali, impiantare backdoor e infiltrarsi nei sistemi di produzione.

Quando gli sviluppatori software ricorrono a pacchetti open-source, si aspettano una scorciatoia - non una trappola di sicurezza. Ma una recente ondata di pacchetti malevoli, accuratamente confezionati e caricati su repository affidabili, ha trasformato gli strumenti di sviluppo in sabotatori silenziosi, mettendo a rischio migliaia di applicazioni e utenti. Dall’esfiltrazione di credenziali sensibili in progetti ASP.NET alla distribuzione di malware avanzato su ambienti Windows, Linux e macOS, questi attacchi espongono il lato oscuro della moderna supply chain del software.

Sotto la superficie: come i pacchetti malevoli violano la catena

La prima salva è arrivata tramite NuGet, il gestore di pacchetti per gli ecosistemi .NET. I ricercatori di Socket hanno individuato quattro pacchetti - NCryptYo, DOMOAuth2_, IRAOAuth2.0 e SimpleWriter_ - che si spacciavano per strumenti utili ma, in realtà, sottraevano dati di ASP.NET Identity. Gli attaccanti non si sono accontentati del semplice furto di credenziali: hanno manipolato le regole di autorizzazione, creando di fatto account amministratore nascosti e disattivando i controlli di sicurezza nelle applicazioni delle vittime.

La chiave dell’attacco era NCryptYo, camuffato da legittima utility di crittografia. Una volta installato, attivava un proxy sulla macchina dello sviluppatore, inoltrando traffico sensibile a un server di comando e controllo. Gli altri pacchetti convogliavano i dati rubati attraverso questo proxy, mentre scrivevano anche file malevoli ed eseguivano processi nascosti. Per gli sviluppatori, la minaccia non finiva nell’ambiente di sviluppo - una volta distribuite, queste app contaminate mantenevano attiva l’infrastruttura dell’attaccante in produzione, garantendo accesso continuativo ai sistemi live.

Nel frattempo, gli sviluppatori JavaScript hanno affrontato un pericolo simile con il pacchetto npm "ambar-src". Scaricato oltre 50.000 volte, sfruttava gli hook di preinstallazione di npm per eseguire payload specifici per sistema operativo: i sistemi Windows ricevevano shellcode cifrato, gli host Linux ottenevano client di reverse shell e le macchine macOS subivano una sorveglianza avanzata tramite l’agente Apfell del framework Mythic C2. L’esfiltrazione dei dati era astuta, instradata attraverso domini di Yandex Cloud per eludere il rilevamento, confondendosi con il normale traffico di rete.

Queste campagne coordinate rivelano una tendenza inquietante: gli attaccanti stanno prendendo di mira le fondamenta stesse dello sviluppo software. Compromettendo gli strumenti di cui gli sviluppatori si fidano, possono infiltrarsi silenziosamente nei sistemi aziendali, aggirando i controlli di sicurezza tradizionali. Il fatto che la rimozione del pacchetto malevolo possa non disinfettare un sistema già compromesso sottolinea la sofisticazione - e la persistenza - di queste minacce.

Conclusione: fidati, ma verifica

L’impennata degli attacchi alla supply chain è un promemoria netto: nel mondo software interconnesso di oggi, ogni dipendenza è un potenziale cavallo di Troia. Sviluppatori e organizzazioni devono esaminare con attenzione i pacchetti, monitorare comportamenti sospetti e trattare qualsiasi attività inspiegabile come una possibile violazione. Man mano che gli attaccanti affinano le loro tattiche, il confine tra comodità e compromissione diventa sempre più sottile.

WIKICROOK

  • NuGet: NuGet è una piattaforma online e un gestore di pacchetti che consente agli sviluppatori .NET di condividere, scaricare e gestire librerie di codice riutilizzabili per i loro progetti.
  • npm: npm è una libreria online centrale in cui gli sviluppatori condividono, aggiornano e gestiscono pacchetti di codice JavaScript per creare software in modo efficiente e sicuro.
  • Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo indirizza a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Reverse Shell: Una reverse shell si verifica quando un computer violato si collega di nascosto a un attaccante, concedendogli il controllo remoto e aggirando le difese di sicurezza standard.
  • Mythic C2 Framework: Mythic C2 Framework è uno strumento open-source per controllare agenti malware, usato nel red teaming, nei penetration test e nella simulazione di attacchi informatici reali.
Malicious Packages Supply Chain Credential Theft
SECPULSE SECPULSE
SOC Detection Lead
← Back to news