Netcrook Logo
👤 WHITEHAWK
🗓️ 02 Dec 2025   🌍 Asia

La Fabbrica di Malware della Corea del Nord: Come i Falsi Test di Programmazione Infiltrano il Web Aperto

Centinaia di pacchetti npm trappola attirano gli sviluppatori in una sofisticata rete di cyber-spionaggio, rivelando una nuova era di hacking industrializzato.

Fatti Rapidi

  • Quasi 200 pacchetti npm dannosi collegati a hacker nordcoreani sono apparsi dall’ottobre 2025.
  • I pacchetti sono stati scaricati oltre 31.000 volte, prendendo di mira sviluppatori blockchain e Web3.
  • Gli aggressori distribuiscono il malware OtterCookie tramite una catena di consegna a più stadi usando GitHub, Vercel e npm.
  • La campagna fa parte dell’operazione in corso “Contagious Interview”, già nota per falsi colloqui di lavoro e incarichi truffa.
  • Gli esperti descrivono questo attacco come un’“offensiva industrializzata alla supply chain del software”, che imita le pratiche legittime di sviluppo.

Il Nuovo Volto dello Spionaggio Digitale

Immagina uno sviluppatore in cerca della prossima opportunità lavorativa, che si ritrova invece a scaricare un “test di valutazione” che è in realtà un cavallo di Troia digitale. Non è un mito antico, ma la nuova realtà per migliaia di persone nel mondo della programmazione, mentre hacker nordcoreani scatenano un’ondata di pacchetti npm dannosi camuffati da normali strumenti di sviluppo.

Dall’ottobre 2025, quasi 200 pacchetti npm trappola si sono silenziosamente infiltrati nell’ecosistema open source, infettando chiunque abbocchi all’esca. La campagna, soprannominata “Contagious Interview”, prende di mira in particolare sviluppatori blockchain e Web3 - prede ideali per i cybercriminali in cerca sia di competenze tecniche che di accesso ad asset digitali.

Breve Storia della Truffa Contagious Interview

Non è la prima incursione della Corea del Nord nell’inganno informatico. Il Lazarus Group, un noto collettivo sponsorizzato dallo stato, vanta una lunga esperienza nel mescolare ingegneria sociale e astuzie tecniche. Nel 2024, il gruppo ha usato false offerte di lavoro e persino app di videoconferenza imitate per infettare i candidati con malware. Nel 2025, le tattiche si sono evolute: foto di dipendenti generate dall’IA e aziende fittizie per risultare ancora più convincenti.

L’attacco di quest’anno è un diretto successore, ma con una novità: il malware, OtterCookie (parente del precedente BeaverTail), ora viene distribuito tramite npm, il più popolare hub di condivisione di codice JavaScript al mondo. Infiltrarsi in npm permette agli hacker di raggiungere migliaia di sviluppatori in un colpo solo, trasformando la collaborazione aperta in un campo minato digitale.

Come Funziona l’Attacco - Spiegato Semplicemente

L’approccio degli aggressori ricorda una staffetta: prima caricano su npm pacchetti apparentemente innocui (con nomi come “tailwind-magic”). Quando uno sviluppatore ne installa uno, il codice contatta silenziosamente un sito di archiviazione temporanea su Vercel, che a sua volta recupera il vero malware da un account GitHub nascosto. Una volta che OtterCookie è a bordo, apre una “remote shell” - una porta segreta che consente agli hacker di prendere il controllo del computer della vittima.

OtterCookie è un borseggiatore digitale, capace di sottrarre di tutto: dai tasti digitati agli screenshot, dalle password dei browser ai dettagli dei wallet di criptovalute, sia su Windows che su Mac e Linux. Il malware verifica persino se è osservato da esperti di sicurezza prima di scatenare tutto il suo arsenale - un segno inquietante della sua sofisticazione.

Le Implicazioni Globali e gli Avvertimenti degli Esperti

Gli esperti di sicurezza vedono questo come un momento spartiacque: un attacco industrializzato e modulare che rispecchia le migliori pratiche dei team di sviluppo legittimi - ma al servizio di furto e spionaggio. Sfruttando la fiducia e l’apertura delle comunità di sviluppatori, il Lazarus Group può superare le difese e diffondere aggiornamenti su larga scala, con pochi rischi di essere individuato.

Man mano che il mondo diventa sempre più dipendente dal codice open source, questi attacchi mettono in luce una verità scomoda: gli strumenti che alimentano l’innovazione possono altrettanto facilmente diventare armi nelle mani di avversari determinati.

La campagna Contagious Interview non è solo un avvertimento per gli sviluppatori - è una sveglia per l’intera industria tecnologica. In un contesto dove la collaborazione è la moneta corrente, la vigilanza è ormai il prezzo d’ingresso. Mentre gli hacker nordcoreani industrializzano il cybercrimine, il confine tra innovazione e infiltrazione si fa sempre più sottile.

WIKICROOK

  • npm: npm è una libreria online centrale dove gli sviluppatori condividono, aggiornano e gestiscono pacchetti di codice JavaScript per costruire software in modo efficiente e sicuro.
  • Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
  • Remote Shell: Una remote shell consente di controllare un computer a distanza, spesso usata per la gestione legittima ma anche sfruttata dagli hacker per accessi non autorizzati.
  • Supply Chain Attack: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • Keylogging: Il keylogging è una tecnica di spionaggio in cui ogni tasto digitato viene segretamente registrato e inviato ai cybercriminali, mettendo a rischio le tue informazioni sensibili.
North Korea Malware Cyber-espionage
WHITEHAWK WHITEHAWK
Cyber Intelligence Strategist
← Back to news