Netcrook Logo
👤 CIPHERWARDEN
🗓️ 17 Oct 2025  

Il Cavallo di Troia di npm: Come 175 Pacchetti dall’Aspetto Innocuo Hanno Alimentato una Campagna Globale di Phishing

Un’operazione di phishing su larga scala ha utilizzato npm e CDN pubbliche come infrastruttura nascosta, ingannando migliaia di persone con “documenti” armati e prendendo di mira oltre 130 grandi aziende in tutto il mondo.

Dati Rapidi

  • 175 pacchetti npm malevoli scaricati 26.000 volte, principalmente da ricercatori e sistemi automatizzati.
  • La campagna, soprannominata "Beamglea", ha preso di mira oltre 135 aziende nei settori industriale, tecnologico ed energetico a livello globale.
  • I pacchetti ospitavano script di reindirizzamento su npm e unpkg.com per inviare le vittime a false pagine di login Microsoft.
  • I “documenti” HTML sembravano ordini d’acquisto o specifiche tecniche, ma reindirizzavano segretamente gli utenti verso siti di phishing.
  • Nessun codice malevolo veniva eseguito all’installazione - npm veniva usato come piattaforma di consegna affidabile per la truffa.

Una Nuova Generazione di Attacchi alla Supply Chain del Software

Sembra la trama di una truffa digitale: pacchetti software apparentemente innocui, sparsi nel registro npm, che servono silenziosamente da spina dorsale per una sofisticata campagna di furto di credenziali. I ricercatori di Socket hanno recentemente scoperto 175 di questi pacchetti, scaricati complessivamente 26.000 volte, al centro di "Beamglea" - un’operazione di phishing che ha preso di mira più di 135 grandi aziende nei settori energia, tecnologia e industria.

Ciò che rende questa campagna così insidiosa non è solo la sua portata, ma l’uso intelligente dell’infrastruttura stessa di cui gli sviluppatori si fidano. Invece di infettare direttamente gli utenti, gli attaccanti hanno costruito una sorta di sistema di relay digitale. Ogni pacchetto npm fungeva da ingrediente chiave, ospitando script sulla rete pubblica di distribuzione dei contenuti unpkg.com. Questi script, una volta attivati, indirizzavano le vittime ignare verso false pagine di login Microsoft, precompilate con i loro indirizzi email per ridurre i sospetti e aumentare le probabilità di successo del phishing.

Armi di Fiducia: npm e l’Arte degli Attacchi Indiretti

L’ecosistema npm - casa di milioni di componenti software open-source - è da tempo un bersaglio per chi cerca di introdurre codice malevolo. Ma Beamglea è diversa. Gli attaccanti non avevano bisogno di compromettere direttamente i computer o le applicazioni degli sviluppatori. Invece, hanno utilizzato npm e unpkg.com come “cloud storage” gratuito e affidabile per le loro esche di phishing.

Ecco come funzionava: uno script Python chiamato "redirect_generator.py" creava centinaia di pacchetti con nomi randomizzati, ciascuno contenente un file HTML personalizzato. Questi file, camuffati da ordini d’acquisto o documenti tecnici, venivano probabilmente inviati alle vittime via email. Una volta aperti, caricavano un file JavaScript da unpkg.com che reindirizzava istantaneamente l’utente a una pagina di phishing. La pagina sembrava una schermata di login Microsoft, con l’email della vittima già inserita, grazie allo script di reindirizzamento.

Non è la prima volta che npm viene abusato per campagne di phishing o distribuzione di malware. Nel 2022, una campagna simile ha coinvolto il typo-squatting - la registrazione di pacchetti con nomi quasi identici a quelli popolari, per indurre in errore gli sviluppatori e portarli a installazioni accidentali. Ma l’innovazione di Beamglea sta nell’uso di npm come infrastruttura passiva, non come vettore attivo di infezione.

Un Far West per i Criminali Informatici?

Automatizzando la generazione dei pacchetti e distribuendo i payload su nove account npm, gli attaccanti hanno creato una rete resiliente e decentralizzata di esche di phishing - una rete che non costava nulla da mantenere e difficile da smantellare completamente. L’affidamento su piattaforme fidate come npm e unpkg.com ha reso più difficile il rilevamento e più lento il processo di rimozione.

Gli esperti di sicurezza avvertono che questo è un segnale di ciò che ci aspetta. Man mano che i difensori migliorano nell’individuare malware diretti, gli attaccanti stanno passando ad abusare degli stessi strumenti e piattaforme di cui ci fidiamo. È un gioco del gatto e del topo, con il campo di battaglia che ora include le catene di fornitura digitali che alimentano il software moderno.

La campagna Beamglea è un chiaro promemoria che, nel panorama software odierno, il nemico non sempre assalta le porte - talvolta si nasconde in piena vista, riutilizzando l’infrastruttura su cui facciamo affidamento ogni giorno. Per difensori e sviluppatori, la vigilanza oggi significa guardare oltre il semplice codice, osservando le ombre nelle nostre catene di fornitura.

WIKICROOK

  • npm: npm è una libreria online centrale dove gli sviluppatori condividono, aggiornano e gestiscono pacchetti di codice JavaScript per costruire software in modo efficiente e sicuro.
  • CDN (Content Delivery Network): Una CDN è una rete di server che memorizza i contenuti dei siti web in più località per consegnarli agli utenti in modo più rapido e sicuro.
  • Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o cliccare su link malevoli.
  • Supply Chain Attack: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • Typosquatting: Il typosquatting si verifica quando gli aggressori usano nomi simili a quelli di siti o software affidabili per indurre gli utenti a visitare siti falsi o scaricare malware.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news