Netcrook Logo
👤 LOGICFALCON
🗓️ 08 Apr 2026   🌍 Asia

PyPI, npm e oltre: hacker nordcoreani lanciano un massiccio attacco furtivo agli ecosistemi open-source

Oltre 1.700 pacchetti software malevoli, diffusi su cinque popolari piattaforme di sviluppo, segnano una nuova escalation nel cyber-spionaggio e nel crimine finanziario nordcoreani.

È iniziato come un giorno qualunque per migliaia di sviluppatori in tutto il mondo: installare una nuova libreria di logging, aggiornare le dipendenze o smanettare con strumenti open-source. All’insaputa di molti, era in corso una campagna silenziosa e capillare: hacker nordcoreani, con il nome in codice “Contagious Interview”, avevano infiltrato repository software fidati con oltre 1.700 pacchetti avvelenati, trasformando la stessa spina dorsale dell’innovazione digitale in un’arma per spionaggio e furto.

Secondo i ricercatori di sicurezza di Socket, la campagna Contagious Interview rappresenta un attacco coordinato alla supply chain, trasversale a più ecosistemi. Invece di affidarsi a script di installazione facilmente individuabili, gli attaccanti hanno incorporato il malware nella logica centrale di funzioni di uso quotidiano - come l’innocuo Logger::trace(i32) nel pacchetto Rust “logtrace” - rendendo il rilevamento quasi impossibile per gli sviluppatori ignari.

I pacchetti infetti, inclusi nomi come dev-log-core (npm), logutilkit (PyPI) e logtrace (Rust), agiscono da loader di malware. Una volta installati e utilizzati, recuperano payload specifici per piattaforma in grado di fare di tutto: dal furto di dati del browser e wallet crypto alla registrazione dei tasti premuti e all’esecuzione di comandi da remoto. In un caso, la variante Windows distribuita tramite “license-utils-kit” includeva una suite completa di strumenti post-compromissione: esecuzione di comandi shell, distribuzione di AnyDesk per l’accesso remoto, caricamento di file e persino creazione di archivi cifrati per l’esfiltrazione dei dati.

Questa campagna non è solo ampia - è profonda. La pazienza degli attaccanti è leggendaria: dopo la compromissione iniziale, il malware spesso rimane dormiente, in attesa del momento perfetto per colpire. Nel frattempo, gli operatori nordcoreani conducono elaborate campagne di social engineering, spacciandosi per contatti fidati su LinkedIn, Slack o via email, attirando i bersagli in finte riunioni Zoom o Microsoft Teams. Queste “riunioni” veicolano ulteriore malware, ampliando l’accesso in ambienti Windows, macOS e Linux.

Security Alliance (SEAL) riferisce di aver bloccato oltre 160 domini collegati a UNC1069, che si mascherano da qualsiasi cosa: dai fornitori di software alle app di videoconferenza. La threat intelligence di Microsoft conferma che gli attori nordcoreani sono in costante evoluzione, cambiando infrastruttura e tattiche ma mantenendo un focus implacabile sul guadagno finanziario e sulla raccolta di intelligence.

La scala e la sofisticazione di Contagious Interview segnalano una nuova era negli attacchi alla supply chain del software. Gli ecosistemi open-source, a lungo celebrati per trasparenza e collaborazione, sono diventati campi di battaglia - dove un singolo account compromesso o un aggiornamento di libreria trascurato può aprire la porta al cyber-spionaggio globale.

Quando la polvere si posa, una cosa è chiara: la fiducia che gli sviluppatori ripongono nel codice open-source è ora un bersaglio primario per gli hacker sponsorizzati da Stati. Il futuro della sicurezza del software potrebbe dipendere da quanto rapidamente la comunità saprà adattarsi - e da quanto resteremo vigili contro minacce che si nascondono in piena vista.

WIKICROOK

  • Attacco alla supply chain: un attacco alla supply chain è un cyberattacco che compromette fornitori di software o hardware fidati, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • Trojan di accesso remoto (RAT): un trojan di accesso remoto (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furto e spionaggio.
  • Infostealer: un infostealer è un malware progettato per rubare dati sensibili - come password, carte di credito o documenti - da computer infetti senza che l’utente se ne accorga.
  • Social engineering: il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
  • Loader: un loader è un software malevolo che installa o esegue altro malware su un sistema infetto, abilitando ulteriori cyberattacchi o accessi non autorizzati.
North Korean hackers open-source attack cyber-espionage
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news