Netcrook Logo
👤 LOGICFALCON
🗓️ 24 Feb 2026  

Sandworm_Mode Striscia Dentro NPM: L’attacco alla supply chain AI che si insinua nel tuo codice

Un attacco NPM scoperto di recente combina tattiche da worm, abuso dell’AI e furto di credenziali per minacciare l’ecosistema open source.

È iniziato con un refuso discreto, un errore apparentemente innocuo che qualunque sviluppatore potrebbe commettere installando un pacchetto. Ma per chi, senza saperlo, ha scaricato ‘Sandworm_Mode’ dal registro NPM, quello scivolone ha spalancato la porta a un sofisticato assalto informatico: un attacco alla supply chain progettato per infiltrarsi, propagarsi e saccheggiare segreti su larga scala. Mentre i team di sicurezza si affannano a valutare le conseguenze, la reale portata della devastazione di questo worm potenziato dall’AI sta solo ora iniziando a emergere.

Fatti rapidi

  • Sandworm_Mode è un attacco alla supply chain che prende di mira NPM, usando 19 pacchetti malevoli distribuiti tramite typosquatting.
  • Il malware abusa di credenziali NPM e GitHub rubate e arma GitHub Actions per diffondersi e rubare segreti.
  • Prende di mira in modo specifico gli assistenti di coding basati su AI, iniettando server MCP malevoli e usando la prompt injection per esfiltrare dati sensibili.
  • L’attacco si esegue in due fasi: furto immediato di chiavi crypto, seguito da raccolta più profonda e propagazione.
  • Tutti i pacchetti identificati sono stati rimossi, ma agli sviluppatori viene chiesto di fare audit, ruotare le credenziali e verificare workflow sospetti.

Dentro l’attacco Sandworm_Mode

La campagna Sandworm_Mode segna una gelida evoluzione negli attacchi alla supply chain. Gli analisti di sicurezza di Socket hanno individuato per primi la minaccia dopo che 19 pacchetti - camuffati da popolari strumenti per sviluppatori e utility per l’AI - sono comparsi nel registro NPM. Pubblicati sotto due alias, questi pacchetti facevano leva sul typosquatting: lievi errori ortografici pensati per intrappolare sviluppatori distratti che potrebbero digitare male il nome di un pacchetto.

Una volta installato, Sandworm_Mode entra in azione. La prima mossa del malware è sfruttare credenziali NPM e GitHub rubate, utilizzando una GitHub Action “armata” per raccogliere segreti di Continuous Integration (CI) e iniettarsi in altri repository. Questo consente al worm di propagarsi, infettando ulteriori progetti e rubando ancora più credenziali in un ciclo auto-replicante.

Ciò che distingue Sandworm_Mode è il suo focus sugli assistenti di coding basati su AI come Claude Code, Cursor, Continue e Windsurf. Installando un server MCP canaglia e impiegando la prompt injection, l’attaccante può esfiltrare silenziosamente chiavi SSH, credenziali AWS, token NPM e altri dati sensibili. Il malware raccoglie anche chiavi API per i provider di modelli linguistici di grandi dimensioni, variabili d’ambiente e perfino i contenuti dei file .env - validandoli e impacchettandoli per l’esfiltrazione.

Per eludere ulteriormente il rilevamento, Sandworm_Mode interagisce con istanze locali di Ollama per offuscare il proprio codice: rinominando variabili, riscrivendo i flussi di controllo e inserendo esche. La sua esecuzione in due fasi garantisce che il furto più dannoso - le chiavi crypto - avvenga all’istante, mentre le azioni più rumorose e più facilmente rilevabili vengono ritardate per superare l’analisi in sandbox.

Per la persistenza, il worm si inietta tramite hook di Git e può attivare un’esfiltrazione multicanale. Un dead switch integrato (ma attualmente inattivo) lascia intravedere un potenziale ancora più distruttivo, con la capacità di cancellare la home directory di un utente se l’accesso a GitHub o NPM viene perso.

Questo attacco ricorda in modo sorprendente la campagna Shai-Hulud dello scorso anno, che ha compromesso 800 pacchetti NPM e ha portato a perdite per milioni. Con Sandworm_Mode, gli attaccanti hanno dimostrato quanto facilmente la fiducia nelle supply chain open source possa essere trasformata in un’arma - e come gli strumenti di AI siano ormai saldamente nel mirino.

Cosa dovrebbero fare gli sviluppatori?

Gli esperti di sicurezza esortano tutti gli sviluppatori a verificare immediatamente le proprie dipendenze, rimuovere eventuali pacchetti segnalati, ruotare tutte le credenziali e i token e scrutinare le modifiche recenti ai file JSON e alle configurazioni dei workflow. Man mano che gli attacchi alla supply chain diventano più sofisticati, vigilanza e risposta rapida restano la migliore difesa contro il prossimo worm nel codice.

WIKICROOK

  • Attacco alla supply chain: Un attacco alla supply chain è un cyberattacco che compromette fornitori di software o hardware fidati, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • Typosquatting: Il typosquatting è quando gli attaccanti usano nomi simili a quelli di siti o software affidabili per ingannare gli utenti e indurli a visitare siti falsi o scaricare malware.
  • GitHub Actions: GitHub Actions automatizza attività come test e deploy del codice su GitHub. Pur aumentando la produttività, può essere usato in modo improprio se non viene messo in sicurezza adeguatamente.
  • Prompt Injection: La prompt injection è quando gli attaccanti forniscono input dannosi a un’AI, inducendola ad agire in modi non previsti o pericolosi, spesso aggirando le normali protezioni.
  • Server MCP: Un server MCP è un middleware che consente agli agenti di connettersi in modo sicuro a plugin, strumenti o servizi in fase di esecuzione, supportando sistemi di cybersecurity modulari.
Sandworm_Mode Supply Chain Attack Typosquatting
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news