Steganografia e sotterfugi: hacker nordcoreani avvelenano npm con strumenti di accesso remoto nascosti

In superficie sembravano strumenti di uso quotidiano per sviluppatori: pacchetti dai nomi familiari, che promettevano produttività e comodità. Ma dietro il codice si stava svolgendo silenziosamente una sofisticata operazione cyber nordcoreana - capace di fondere l’inganno classico con i più moderni trucchi informatici. Nelle ultime settimane, i ricercatori hanno scoperto una vasta campagna che ha contrabbandato malware di accesso remoto nel registro npm, prendendo di mira programmatori ignari in tutto il mondo.

L’operazione, tracciata dagli esperti di sicurezza come "StegaBin", rappresenta un’evoluzione della famigerata campagna Contagious Interview. Gli attaccanti hanno pubblicato 26 pacchetti npm con nomi come argonist, bcryptance e expressjs-lint, ciascuno in grado di imitare in modo sottile librerie legittime. Gli sviluppatori ignari che installavano questi pacchetti attivavano uno script nascosto, scatenando una catena di azioni malevole.

La vera ingegnosità tecnica stava nel modo in cui il malware recuperava le proprie istruzioni. Invece di contattare direttamente server sospetti, il loader si collegava a Pastebin, recuperando quelli che sembravano innocui saggi di informatica. Nascosti nel testo - a intervalli calcolati con precisione - c’erano caratteri che, una volta assemblati, rivelavano indirizzi segreti dei server C2 del malware ospitati su Vercel. Questo uso della steganografia testuale ha permesso all’operazione di eludere sia gli scanner di sicurezza automatizzati sia i revisori umani.

Una volta decodificata l’infrastruttura C2, il malware scaricava payload specifici per piattaforma, inclusi un trojan di accesso remoto (RAT) multipiattaforma e un ladro di credenziali. Il toolkit vantava nove moduli diversi, abilitando di tutto: dall’accesso persistente nei progetti di Visual Studio Code al furto di credenziali del browser, keylogging, monitoraggio degli appunti, targeting dei wallet di criptovalute e l’esfiltrazione di chiavi SSH e file sensibili. Gli attaccanti potevano impartire comandi, cercare segreti degli sviluppatori e mantenere un accesso continuo e furtivo ai sistemi compromessi.

Questa campagna segna una drammatica escalation nella sofisticazione degli attacchi alla supply chain nordcoreani. Le ondate precedenti si affidavano a script malevoli più evidenti, ma la combinazione di typosquatting e risoluzione C2 steganografica di StegaBin dimostra un nuovo livello di sicurezza operativa e creatività. I ricercatori avvertono che è improbabile che questa sia l’ultima innovazione di Famous Chollima, che continuano a sperimentare nuovi metodi e infrastrutture.

Man mano che le linee tra collaborazione open source e cybercrimine continuano a sfumare, gli sviluppatori devono restare vigili. La campagna StegaBin è un monito netto: anche il codice dall’aspetto più innocuo può nascondere un mondo di pericoli, e gli attori della minaccia di oggi sono più astuti che mai.

WIKICROOK

• Typosquatting: Il typosquatting si verifica quando gli attaccanti usano nomi simili a quelli di siti o software affidabili per ingannare gli utenti e indurli a visitare siti falsi o scaricare malware.
• Steganografia: La steganografia nasconde messaggi segreti o codice all’interno di file di uso comune, come immagini o audio, rendendo difficile rilevare le informazioni nascoste.
• Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
• Trojan di accesso remoto (RAT): Un trojan di accesso remoto (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furti e spionaggio.
• Ladro di credenziali: Un ladro di credenziali è un malware progettato per individuare e rubare password, chiavi digitali o token di autenticazione dal computer o dal dispositivo di una vittima.