Sabotaggio silenzioso: come un pacchetto Axios avvelenato ha scatenato un incubo nella supply chain del software

Il mondo dello sviluppo software è stato scosso questa settimana da una violazione che sembra uscita da un cyber-thriller: codice fidato diventato traditore, malware nascosto scivolato nel cuore dell’infrastruttura enterprise e aggressori con un pass per il backstage di innumerevoli reti aziendali. Il colpevole? Un singolo aggiornamento contaminato di Axios - una libreria JavaScript di cui si fida quasi ogni sviluppatore - che ha introdotto un cavallo di Troia lasciando i team di sicurezza a correre ai ripari in tutto il mondo.

L’anatomia di un tradimento della supply chain

Axios, uno strumento onnipresente per gestire le richieste web in JavaScript, è diventato il veicolo inconsapevole di un sofisticato attacco alla supply chain. Il 31 marzo 2026, dei criminali informatici hanno inserito codice malevolo in due nuove release di Axios (1.14.1 e 0.30.4). Gli sviluppatori di tutto il mondo, fidandosi dell’ecosistema npm, hanno aggiornato come al solito - ignari che i loro progetti includessero ormai una backdoor invisibile.

Gli aggiornamenti avvelenati di Axios hanno richiamato silenziosamente una dipendenza canaglia, “plain-crypto-js” versione 4.2.1. Non era una semplice libreria: agiva da loader furtivo, contattando server controllati dagli attaccanti e scaricando un trojan di accesso remoto (RAT) multi-stadio. Una volta dentro, il RAT poteva raccogliere codice sorgente, rubare variabili d’ambiente sensibili e persino infiltrarsi in pipeline CI/CD critiche - consegnando agli aggressori le chiavi del regno digitale.

Ricadute globali e la risposta d’emergenza della CISA

La U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha lanciato l’allarme, avvertendo che la popolarità di Axios significa che il raggio d’impatto potrebbe includere migliaia di aziende, dalle startup ai colossi della Fortune 500. Le indicazioni della CISA sono chiare: le organizzazioni devono verificare le proprie codebase, effettuare immediatamente il downgrade a versioni sicure di Axios (1.14.0 o 0.30.3), eliminare la directory malevola “plain-crypto-js”, ruotare tutte le credenziali potenzialmente esposte e cercare qualsiasi segnale di compromissione residua.

Gli esperti di sicurezza sottolineano che questo è più di un semplice lavoro di bonifica. L’attacco ha sfruttato i comportamenti predefiniti di npm - come l’esecuzione automatica degli script e l’adozione immediata di nuovi pacchetti. Per bloccare violazioni simili, si esorta i team a disabilitare l’esecuzione automatica degli script, ritardare l’accettazione di pacchetti appena pubblicati e imporre un’autenticazione multifattore resistente al phishing per tutti gli account degli sviluppatori.

Lezioni per un ecosistema precario

Questo incidente è un promemoria netto: nel mondo interconnesso del software moderno, la fiducia è al tempo stesso una necessità e un rischio. Con una sola dipendenza compromessa, gli attaccanti possono fare un balzo in avanti dentro migliaia di reti. Mentre le organizzazioni si affrettano a contenere i danni, una cosa è chiara: la battaglia per la sicurezza della supply chain del software è appena iniziata.

TECHCROOK

YubiKey 5 NFC è una chiave di sicurezza hardware pensata per imporre un’autenticazione forte e resistente al phishing sugli account degli sviluppatori, riducendo il rischio che credenziali rubate vengano usate per compromettere repository e supply chain (come nel caso di pacchetti npm avvelenati). Supporta standard FIDO2/WebAuthn e U2F per accessi senza password o con secondo fattore, oltre a funzioni smart card (PIV) e OTP per scenari enterprise. La presenza di NFC e USB consente l’uso sia su desktop sia su dispositivi mobili, facilitando l’adozione in team distribuiti. È utile anche per proteggere accessi a CI/CD e pannelli cloud critici. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• npm (Node Package Manager): npm è la principale piattaforma per condividere e gestire pacchetti JavaScript, consentendo agli sviluppatori di installare e usare facilmente librerie di codice nei propri progetti.
• Trojan di accesso remoto (RAT): Un trojan di accesso remoto (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furto e spionaggio.
• Dipendenza: Una dipendenza è codice o software esterno su cui un progetto fa affidamento; se compromessa, può introdurre vulnerabilità in tutti i progetti che ne dipendono.
• Pipeline CI/CD: Una pipeline CI/CD automatizza il test e il deployment del codice, consentendo agli sviluppatori di rilasciare aggiornamenti software rapidamente, in modo affidabile e con meno errori.
• Rotazione delle credenziali: La rotazione delle credenziali è il cambio periodico di password o chiavi per bloccare gli attaccanti e proteggere gli account, soprattutto dopo una violazione della sicurezza o cambiamenti di personale.