Netcrook Logo
👤 CIPHERWARDEN
🗓️ 17 Oct 2025  

Webhook di Discord: la nuova rotta di contrabbando per gli attacchi alla supply chain del software

Pacchetti malevoli nei più popolari repository di codice stanno silenziosamente sottraendo segreti degli sviluppatori verso canali Discord, alimentando una nuova ondata di cyber-spionaggio globale.

In breve

  • Gli aggressori hanno inserito pacchetti malevoli su npm, PyPI e RubyGems per rubare dati sensibili degli sviluppatori.
  • Le informazioni rubate vengono inviate direttamente ai canali Discord tramite webhook, eludendo molte difese tradizionali.
  • Attori minacciosi legati alla Corea del Nord hanno usato finte interviste di lavoro e pacchetti typosquattati per colpire sviluppatori Web3 e crypto.
  • Oltre 50.000 download di questi pacchetti malevoli sono stati registrati prima della scoperta.
  • I webhook di Discord, gratuiti e facili da usare, abbassano i costi e aumentano la furtività di questi attacchi.

Canali Discord: da ritrovi per gamer a basi operative per hacker

Immagina un porto commerciale brulicante dove container vengono caricati e scaricati giorno e notte. Tra i carichi legittimi, alcune casse passano inosservate - non scansionate - trasportando merce rubata direttamente in un magazzino nascosto. Nel mondo digitale di oggi, Discord, un tempo noto soprattutto come chatroom per gamer, è diventato quel magazzino segreto per i cybercriminali che depredano i mari aperti dello sviluppo software.

Recenti indagini da parte di aziende di sicurezza della supply chain del software hanno scoperto una tendenza preoccupante: gli aggressori stanno inserendo pacchetti di codice malevolo nei repository npm (JavaScript), PyPI (Python) e RubyGems (Ruby). Quando sviluppatori ignari installano questi pacchetti, il codice raccoglie silenziosamente file sensibili - come segreti di configurazione, chiavi API e dettagli di sistema - e li invia ai canali Discord usando una funzione chiamata webhook.

I webhook sono un modo semplice per inviare messaggi su Discord senza bisogno di un bot o di un account completo. Per gli aggressori, questo significa esfiltrazione di dati istantanea e anonima - senza la necessità di costruire o affittare infrastrutture costose. Il processo è quasi invisibile; per i difensori, sembra normale traffico web.

Attacchi alla supply chain: vecchi trucchi, nuovi canali

L’uso di piattaforme pubbliche per il command-and-control non è una novità. In passato, i cybercriminali hanno abusato di Twitter, Slack e Telegram per coordinare attacchi e trasferire dati rubati. Ma la popolarità di Discord, la sua facilità d’uso e la natura “scrivi e basta” dei webhook lo rendono una rotta di contrabbando particolarmente attraente. Una volta che i dati sono stati inviati, solo l’attaccante può vederli - i difensori non possono facilmente tracciare o recuperare ciò che è stato spedito.

In particolare, gruppi sponsorizzati dallo stato nordcoreano hanno intensificato queste tattiche. Nella cosiddetta campagna “Contagious Interview”, gli aggressori si sono spacciati per recruiter su piattaforme come LinkedIn, attirando sviluppatori interessati a lavori nel Web3 e nelle criptovalute. Le vittime venivano istruite a clonare progetti che, a loro insaputa, facevano riferimento a pacchetti trappola su npm. Questi pacchetti raccoglievano credenziali del browser, wallet crypto, tasti digitati e altro ancora, inviando il bottino su Discord e scaricando poi ulteriore malware per mantenere l’accesso.

Molti dei pacchetti malevoli erano typosquat - nomi quasi identici a librerie popolari (come “dotevn” invece di “dotenv”) - rendendo facile anche per sviluppatori attenti commettere errori. In totale, sono stati pubblicati centinaia di questi pacchetti, alcuni scaricati decine di migliaia di volte prima di essere rimossi.

Perché Discord? Economia ed elusione

I cybercriminali sono attori economici: cercano il massimo guadagno con il minimo rischio e costo. Usando l’infrastruttura di Discord, gli aggressori evitano la spesa e l’esposizione di gestire propri server. Il traffico si confonde con le attività legittime, bypassando molti firewall di rete e strumenti di sicurezza. Nella corsa tra difensori e aggressori, i webhook di Discord hanno dato a questi ultimi un vantaggio iniziale.

Gli esperti avvertono che finché repository di codice pubblici e piattaforme come Discord resteranno aperti e gratuiti, questi attacchi continueranno. Rimuovere un pacchetto malevolo è come tappare una falla in una nave che perde - se non vengono smantellati gli account e l’infrastruttura dietro di essi, gli aggressori torneranno semplicemente sotto una nuova bandiera.

La supply chain del software è ormai un campo di battaglia globale, e strumenti nati per il gioco sono diventati armi di spionaggio digitale. Mentre gli attaccanti sfruttano ogni canale aperto, il confine tra collaborazione amichevole e intrusione segreta si fa sempre più sottile. Per sviluppatori e difensori, vigilanza e scetticismo sono ora vitali quanto codice e creatività.

WIKICROOK

  • Webhook: Un webhook è un modo per un software di inviare istantaneamente dati o avvisi all’indirizzo web di un’altra applicazione quando si verificano eventi specifici.
  • Supply Chain Attack: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • Typosquatting: Il typosquatting consiste nell’usare nomi simili a siti o software affidabili per indurre gli utenti a visitare siti falsi o scaricare malware.
  • Command: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Exfiltration: L’esfiltrazione è il trasferimento non autorizzato di dati sensibili dalla rete della vittima a un sistema esterno controllato dagli aggressori.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news