iPhone nel mirino: basta un click per svuotare i wallet crypto

Un attacco di tipo supply chain attack ha compromesso il pacchetto npm art-template, trasformandolo in un vettore per distribuire exploit contro iPhone. Il codice malevolo caricava una catena di attacco in grado di sfruttare vulnerabilità di iOS e colpire browser Safari, con l'obiettivo finale di sottrarre wallet di criptovalute come MetaMask, Trust Wallet, Phantom ed Exodus. L'incidente evidenzia ancora una volta i rischi legati alle dipendenze software e alla sicurezza dell'ecosistema open source.

La compromissione di un pacchetto npm si è trasformata in una vera e propria catena di attacchi contro i possessori di iPhone.

Gli aggressori hanno inserito del malware nel popolare motore di modelli JavaScript art-template, utilizzato da migliaia di siti e applicazioni web. L’attacco ha colpito la versione browser della libreria e ha reindirizzato gli utenti a un kit di exploit iOS nascosto che poteva eseguire codice senza la partecipazione della vittima.

Gli specialisti di SafeDep hanno scoperto che nelle versioni art-template 4.13.3, 4.13.5 e 4.13.6 sono apparse modifiche dannose. All’interno del file template-web.js, è stato aggiunto del codice che scaricava automaticamente script esterni dai domini v3.jiathis.com e git.youzzjizz.com. Gli autori del rapporto affermano che gli aggressori hanno preso il controllo degli account dei manutentori del progetto e hanno iniziato a pubblicare versioni modificate del pacchetto tramite falsi account npm.

La catena dannosa funzionava solo nel browser. Le applicazioni Server Node.js non sono state colpite dall’attacco. Dopo aver scaricato il pacchetto infetto, lo script controllava il dispositivo del visitatore. Per i possessori di iPhone è stato creato un iframe nascosto che collegava codice aggiuntivo dall’infrastruttura utaq.cfww.shop.

Successivamente, nel browser è stato caricato un insieme di exploit Coruna in più fasi. Gli analisti hanno collegato la piattaforma agli attacchi su iOS 13.0–17.2.1 e allo sfruttamento di CVE-2024-23222 in JavaScriptCore. La vulnerabilità potrebbe consentire l’esecuzione di codice arbitrario in Safari. La catena utilizzava bug WebAssembly, bypass ASLR, spray heap JIT e tecniche di shellcode ARM64.

Gli autori dello studio hanno riferito che il payload finale è progettato per rubare i portafogli di criptovaluta MetaMask, Trust Wallet, Phantom ed Exodus. Il malware inoltre inviava regolarmente dati telemetrici al server di comando e controllo l1ewsu3yjkqeroy.xyz tramite Cloudflare.

La storia dell’acquisizione del progetto è iniziata nel 2024. L’account GitHub dell’autore originale aui è stato ribattezzato goofychris e tra i manutentori del pacchetto npm sono comparsi account sconosciuti daughtrymom e npmpacketmaintainmember7. L’ultima versione legittima di art-template, secondo il rapporto, è stata rilasciata nel 2018 con il numero 4.13.2.

Gli esperti raccomandano di controllare urgentemente gli assembly e la cache della CDN per individuare i collegamenti a domini sospetti, nonché di ripristinare il modello artistico alla versione 4.13.2 o di abbandonare completamente l’uso della versione browser della libreria.

Luigi Zullo

Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.

Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response