Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

NPM sotto Attacco: Un Trojan RAT scaricato un milione di volte Infetta 17 Popolari Pacchetti JavaScript

Redazione RHC : 10 Giugno 2025 13:55

Un altro grave attacco alla supply chain è stato scoperto in npm, che ha colpito 17 popolari pacchetti GlueStack @react-native-aria. Un codice dannoso che fungeva da trojan di accesso remoto (RAT) è stato aggiunto ai pacchetti, che sono stati scaricati più di un milione di volte.

L’attacco alla supply chain è stato scoperto da Aikido Security, che ha notato codice offuscato incorporato nel file lib/index.js dei seguenti pacchetti:

Nome del pacchettoVersioneNumero di download settimanali
@react-native-aria/pulsante0.2.1151.000
@react-native-aria/checkbox0.2.1181.000
@react-native-aria/combobox0.2.1051.000
@react-native-aria/divulgazione0.2.93
@react-native-aria/focus0.2.10100.000
@react-native-aria/interazioni0.2.17125.000
@react-native-aria/listbox0.2.1051.000
@react-native-aria/menu0.2.1622.000
@react-native-aria/sovrapposizioni0.3.1696.000
@react-native-aria/radio0.2.1478.000
@react-native-aria/switch0.2.5477
@react-native-aria/toggle0.2.1281.000
@react-native-aria/utils0.2.13120.000
@gluestack-ui/utils0.1.1755.000
@react-native-aria/separatore0.2.765
@react-native-aria/slider0.2.1351.000
@react-native-aria/tabs0.2.1470.000

Poiché i pacchetti interessati sono molto diffusi e sono stati scaricati da circa 1.020.000 persone ogni settimana, i ricercatori hanno avvertito che l’attacco potrebbe avere gravi conseguenze.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Come segnalato dai giornalisti di BleepingComputer , la compromissione è iniziata la scorsa settimana, il 6 giugno 2025, quando una nuova versione del pacchetto @react-native-aria/focus è stata pubblicata su npm. Da allora, 17 dei 20 pacchetti @react-native-aria di GlueStack sono stati compromessi.

Secondo gli esperti, il codice dannoso è fortemente offuscato e viene aggiunto all’ultima riga del codice sorgente del file con un gran numero di spazi. Per questo motivo, non è facile da individuare visualizzando il codice sul sito web di npm.

I ricercatori hanno osservato che il codice dannoso è quasi identico a un trojan di accesso remoto scoperto il mese scorso durante le indagini su un altro attacco alla supply chain di npm.

Il malware incorporato nei pacchetti si connette al server di controllo degli aggressori e riceve da questo i comandi da eseguire. Tra questi:

  • cd — cambia la directory di lavoro corrente;
  • ss_dir — cambia la directory nel percorso dello script
  • ss_fcd: — forza il cambio di directory in ;
  • ss_upf:f,d — carica un singolo file f nella destinazione d;
  • ss_upd:d,dest — scarica tutti i file dalla directory d alla destinazione dest;
  • ss_stop – imposta un flag di stop che interrompe il processo di avvio corrente;
  • qualsiasi altro input viene trattato come un comando shell ed eseguito tramite child_process.exec().

Inoltre, il trojan sostituisce anche la variabile d’ambiente PATH aggiungendo un percorso fittizio (%LOCALAPPDATA%\Programs\Python\Python3127) all’inizio. Questo consente al malware di intercettare silenziosamente le chiamate Python e PIP ed eseguire file binari dannosi.

Aikido Security ha provato a contattare gli sviluppatori di GlueStack e a segnalare la compromissione aprendo un problema su GitHub per ciascuno dei repository del progetto, ma non ha ricevuto risposta. Gli esperti hanno infine informato gli amministratori di npm del problema, ma il processo di rimozione richiede solitamente diversi giorni.

Gli esperti attribuiscono questo attacco agli aggressori che in precedenza avevano compromesso altri quattro pacchetti in npm: biatec-avm-gas-station, cputil-node, lfwfinance/sdk e lfwfinance/sdk-dev. Dopo che l’attacco è stato riportato dai media, gli sviluppatori di GlueStack hanno revocato il token di accesso utilizzato per pubblicare i pacchetti dannosi, che ora sono contrassegnati come deprecati in npm.

“Purtroppo, non è stato possibile rimuovere la versione compromessa a causa di pacchetti dipendenti”, ha scritto un rappresentante di GlueStack su GitHub. “Per precauzione, ho ritirato le versioni interessate e aggiornato l’ultimo tag in modo che punti alla versione precedente, sicura.”

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Il Red Team Research di TIM scopre 5 CVE su Eclipse GlassFish, una critica (score 9,8)
Di Redazione RHC - 21/07/2025

Giovedì 16 luglio è stata una giornata significativa per i ricercatori di sicurezza informatica del team italiano Red Team Research (RTR) di TIM, che ha visto pubblicate cinque nuove vulnera...

Vulnerabilità in 7-Zip: gli aggressori possono eseguire attacchi di denial-of-service
Di Redazione RHC - 21/07/2025

Una falla critica nella sicurezza, relativa alla corruzione della memoria, è stata individuata nel noto software di archiviazione 7-Zip. Questa vulnerabilità può essere sfruttata da mal...

Escape di ToolShell: la nuova minaccia che colpisce i server Microsoft SharePoint
Di Redazione RHC - 21/07/2025

Una campagna di attacchi informatici avanzati è stata individuata che prende di mira i server Microsoft SharePoint. Questa minaccia si avvale di una serie di vulnerabilità, conosciuta come &...

Robot umanoide cinese sostituisce la propria batteria e lavora 24 ore al giorno
Di Redazione RHC - 20/07/2025

La presentazione del Walker S2 rappresenta un importante passo avanti nell’autonomia operativa dei robot umanoidi. Grazie alla capacità di sostituire autonomamente la propria batteria, il ...

Jen-Hsun Huang: “Sono nato cinese e poi diventato sinoamericano”. Grave errore il ban dei chip AI in Cina
Di Redazione RHC - 19/07/2025

Secondo quanto riportato da Fast Technology il 18 luglio, Jen-Hsun Huang ha raccontato ai media cinesi le proprie origini, spiegando di essere nato cinese e poi diventato sinoamericano. Ha sottolineat...