Netcrook Logo
👤 HEXSENTINEL
🗓️ 27 Nov 2025  

Code Armageddon: Il malware “Dead Man’s Switch” minaccia gli sviluppatori npm in tutto il mondo

Una nuova generazione di malware sfrutta le catene di fornitura del software, tenendo in ostaggio i dati degli utenti con un meccanismo di autodistruzione se i difensori reagiscono.

In breve

  • Un malware soprannominato “Shai-Hulud” si sta diffondendo tramite npm, la più grande libreria di codice open-source al mondo.
  • Utilizza un “dead man’s switch” per distruggere i dati degli utenti se viene bloccato dai suoi canali di comando.
  • Le credenziali rubate vengono raccolte e usate per infettare altri pacchetti di sviluppatori in un attacco auto-replicante.
  • Il malware prende di mira credenziali sensibili di cloud e repository di codice, minacciando sia individui che organizzazioni.
  • Il team di sicurezza di GitLab ha lanciato l’allarme dopo aver scoperto l’attacco, ma ha confermato che i propri sistemi sono puliti.

Un nuovo tipo di estorsione informatica

Immagina un ordigno digitale dell’apocalisse, che ticchetta silenziosamente nel cuore delle librerie software più affidabili al mondo. Questa è la realtà inquietante che affrontano migliaia di sviluppatori dopo la scoperta di una sofisticata campagna malware che prende di mira npm, la spina dorsale dello sviluppo web moderno. Il malware, nome in codice “Shai-Hulud”, non si limita a rubare segreti: minaccia di vaporizzare i dati al minimo segno di resistenza.

La violazione è stata scoperta dal team di sicurezza di GitLab, che ha trovato pacchetti npm infetti dotati di un distruttivo “dead man’s switch”. Questo meccanismo, da sempre materia di thriller di spionaggio, garantisce che, se i difensori tagliano la comunicazione del malware con i suoi server di controllo su GitHub e il registro npm, esso cancellerà immediatamente i file della vittima - senza lasciare spazio a trattative o recupero.

Come si svolge l’attacco

L’attacco inizia in modo ingannevole. Gli sviluppatori installano quello che sembra un pacchetto legittimo, solo per attivare uno script camuffato chiamato setup_bun.js. Invece di configurare un semplice strumento, questo script scatena un labirinto di codice offuscato da 10 megabyte. Una volta attivo, il malware setaccia il computer alla ricerca di credenziali preziose - token GitHub, accessi cloud Amazon e Microsoft, password di pubblicazione npm - utilizzando persino strumenti di scansione della sicurezza per scovare chiavi nascoste in file e storici dei progetti.

I segreti rubati vengono trasportati in speciali repository GitHub contrassegnati come “Sha1-Hulud: The Second Coming”. Se una singola macchina infetta non riesce a raggiungere abbastanza account, il malware va a caccia di bottini lasciati da altri sistemi compromessi, creando una mente alveare criminale. Con ogni nuovo set di credenziali npm, infetta tutti i pacchetti posseduti dalla vittima, ripubblicandoli con il suo carico malevolo e moltiplicando la sua portata in modo esponenziale - proprio come i famigerati attacchi “worm” del passato, ma ora armati di una bomba a orologeria digitale.

Non il primo, ma il più pericoloso?

Gli attacchi alla catena di fornitura del software sono esplosi negli ultimi anni, con incidenti famosi come la violazione SolarWinds e la campagna npm “IconBurst” dello scorso anno. Ma il dead man’s switch di Shai-Hulud alza la posta, fondendo il furto di dati con la minaccia di distruzione di massa. Gli esperti di sicurezza lo paragonano a un “ransomware senza riscatto” - una tattica di terra bruciata che potrebbe paralizzare sia organizzazioni che singoli sviluppatori.

La sofisticazione dell’attacco fa pensare a un attore ben finanziato, forse con motivazioni economiche o geopolitiche. Man mano che gli ecosistemi open-source diventano infrastrutture digitali critiche, i rischi si estendono ben oltre gli hobbisti. Con il commercio globale, la sanità e le piattaforme governative che si affidano a npm, le conseguenze di un simile attacco potrebbero riverberarsi in tutti i settori.

Cosa devono fare ora gli sviluppatori?

GitLab continua a monitorare la minaccia, esortando tutti gli sviluppatori a verificare le proprie dipendenze npm, cambiare le credenziali e prestare attenzione ad attività sospette. L’intera comunità della sicurezza è in massima allerta, cercando di capire quanti pacchetti - e quanti dati - possano essere a rischio.

La lezione è chiara: man mano che le catene di fornitura del software diventano più complesse, difenderle richiede vigilanza, trasparenza e prontezza all’imprevisto. Il “dead man’s switch” non è più solo un espediente da film di Hollywood: è una minaccia reale, che ticchetta nel codice di cui ci fidiamo.

Resta vigile, proteggi le tue credenziali e ricorda: nel selvaggio west digitale, anche gli strumenti di cui ti fidi possono rivoltarsi contro di te.

WIKICROOK

  • Dead Man’s Switch: Un Dead Man’s Switch è un meccanismo di cybersicurezza che scatena azioni dannose, come la cancellazione dei dati, se il malware perde il contatto con il suo controllore.
  • npm (Node Package Manager): npm è la principale piattaforma per la condivisione e la gestione di pacchetti JavaScript, che permette agli sviluppatori di installare e utilizzare facilmente librerie di codice nei propri progetti.
  • Supply Chain Attack: Un attacco alla catena di fornitura è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • Credential Harvesting: Il credential harvesting è il furto di dati di accesso, come nomi utente e password, spesso tramite siti web falsi o email ingannevoli.
  • Obfuscated Code: Il codice offuscato è codice programmato deliberatamente reso difficile da leggere, spesso usato dagli hacker per nascondere malware agli strumenti di sicurezza.
Malware npm Cybersecurity
HEXSENTINEL HEXSENTINEL
Binary & Malware Analyst
← Back to news