Malware nel mainstream: come l’hack di Axios su npm minaccia la supply chain del software

Quando gli sviluppatori di tutto il mondo hanno aggiornato il loro pacchetto Axios su npm a fine marzo 2026, pochi avrebbero potuto immaginare che la loro fidata libreria HTTP fosse diventata un cavallo di Troia. Ma dietro le quinte si stava silenziosamente dispiegando un sofisticato attacco alla supply chain - con il potenziale di propagarsi attraverso reti aziendali, pipeline CI/CD e sistemi di produzione in tutto il mondo.

La Cybersecurity and Infrastructure Security Agency (CISA) ha lanciato l’allarme dopo aver scoperto che gli attaccanti avevano iniettato codice malevolo in due release di Axios ampiamente utilizzate. Axios, una libreria fondamentale nello sviluppo JavaScript per gestire le richieste HTTP, è integrata in innumerevoli progetti web e backend. La sua compromissione è un incubo di supply chain: un solo aggiornamento malevolo, e migliaia di macchine degli sviluppatori diventano potenziali trampolini di lancio per violazioni più profonde.

Il metodo degli attaccanti è stato astuto. Aggiungendo una dipendenza apparentemente innocua - plain-crypto-js versione 4.2.1 - hanno occultato un loader di malware dentro quello che sembrava un aggiornamento di routine. Gli sviluppatori che hanno installato le versioni contaminate di Axios hanno introdotto inconsapevolmente questa minaccia nascosta nei loro progetti. Una volta attivo, il loader ha contattato server controllati dagli attaccanti, ha recuperato ulteriori payload malevoli e ha distribuito un sofisticato trojan di accesso remoto (RAT).

Questo RAT ha fornito ai criminali informatici un punto d’appoggio persistente, consentendo loro di sottrarre risorse sensibili: codice sorgente, variabili d’ambiente, chiavi API e credenziali. Il vero pericolo? Se anche solo la macchina di uno sviluppatore veniva compromessa, gli attaccanti potevano muoversi lateralmente nelle reti interne, potenzialmente violando pipeline CI/CD e ambienti di produzione - dove risiedono i gioielli della corona dei dati aziendali.

L’avviso urgente della CISA raccomanda un’azione immediata. I team di sicurezza devono verificare l’attività npm, identificare i sistemi che eseguono le versioni compromesse di Axios e tornare a release sicure (1.14.0 o 0.30.3). La directory malevola plain-crypto-js deve essere individuata ed eliminata. Forse cosa più cruciale, le organizzazioni devono revocare e ruotare qualsiasi segreto esposto - chiavi cloud, token npm, chiavi SSH e credenziali CI/CD - prima che gli attaccanti possano sfruttarli ulteriormente.

La vigilanza di rete è fondamentale: le connessioni in uscita verso il dominio malevolo Sfrclak[.]com dovrebbero essere bloccate e monitorate, e gli strumenti di endpoint detection devono essere impiegati per individuare attività di command-and-control in corso. Per proteggersi da incidenti futuri, la CISA raccomanda di rafforzare le impostazioni di sicurezza di npm - disabilitando l’esecuzione automatica degli script dei pacchetti, ritardando l’installazione di nuovi pacchetti e imponendo un’autenticazione forte e resistente al phishing per gli account degli sviluppatori.

L’hack di Axios è un monito severo: anche i componenti open-source più affidabili possono diventare vettori di sofisticati attacchi informatici. Mentre gli attori della minaccia affinano il loro focus sulle supply chain del software, sicurezza proattiva e monitoraggio vigile non sono più opzionali - sono essenziali per ogni organizzazione che costruisce con strumenti open-source.

TECHCROOK

YubiKey 5 NFC è una chiave di sicurezza hardware pensata per rafforzare l’autenticazione degli account degli sviluppatori e ridurre il rischio di compromissioni che portano ad attacchi alla supply chain, come quelli veicolati tramite pacchetti npm. Supporta standard FIDO2/WebAuthn e U2F per accessi resistenti al phishing, oltre a OTP e smart card (PIV) per scenari enterprise. L’uso tipico è proteggere account critici (repository, registri di pacchetti, CI/CD, cloud) con MFA forte, limitando furti di token e credenziali che possono trasformare un singolo endpoint in un punto d’ingresso persistente. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• pacchetto npm: Un pacchetto NPM è un bundle riutilizzabile di codice JavaScript condiviso tramite il Node Package Manager, che consente una facile condivisione del codice e il miglioramento dei progetti.
• Attacco alla supply chain: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware fidati, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
• Trojan di accesso remoto (RAT): Un Remote Access Trojan (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furto e spionaggio.
• Pipeline CI/CD: Una pipeline CI/CD automatizza il test e il deployment del codice, consentendo agli sviluppatori di rilasciare aggiornamenti software rapidamente, in modo affidabile e con meno errori.
• Rotazione delle credenziali: La rotazione delle credenziali è la modifica periodica di password o chiavi per bloccare gli attaccanti e proteggere gli account, soprattutto dopo una violazione della sicurezza o cambiamenti di personale.