NPM Supply Chain Attack 2025: analisi tecnica, impatto reale e come evolvono le difese

In un ecosistema digitale sempre più interconnesso, le aziende dipendono da reti di fornitori e partner per operare in modo efficiente. Tuttavia, questa interdipendenza ha trasformato la supply chain in un nuovo perimetro critico della cybersecurity. Secondo il rapporto ENISA Threat Landscape 2024, la supply chain rientra stabilmente tra le prime tre categorie di attacchi più critiche per le organizzazioni europee. Tra il 2021 e il 2023 gli attacchi alla catena di approvvigionamento sono aumentati del 431%, con previsioni di crescita esponenziale entro il 2025.

Gli attacchi alla software supply chain sfruttano la fiducia implicita tra organizzazioni e fornitori, colpendo un singolo anello vulnerabile per propagarsi lungo l’intera catena. Compromettere una libreria open source, un pacchetto NPM o un fornitore SaaS può aprire la strada a intrusioni massive e difficili da rilevare. La conseguenza è un rischio sistemicoche richiede nuove strategie di difesa e un approccio più maturo alla gestione della fiducia digitale.

In questo articolo analizzeremo perché la supply chain è diventata il vettore d’attacco privilegiato, esamineremo due casi emblematici nel contesto NPM – dal sabotaggio di Colors e Faker.js nel 2022 alla recente compromissione su larga scala del 2025 – per poi approfondire come un approccio integrato alla supply chain security e alla compliance possa mitigare in modo significativo i rischi, con particolare riferimento alla metodologia adottata da ELMI.

Perché la supply chain è il nuovo vettore d’attacco

Gli attacchi alla supply chain si distinguono per la loro natura indiretta e per la capacità di colpire in profondità l’intero ecosistema digitale di un’organizzazione. Invece di attaccare direttamente il bersaglio principale, i cyber criminali compromettono un fornitore fidato – come un distributore di software, hardware o servizi gestiti – utilizzandolo come canale per introdurre codice malevolo o componenti manipolati. Questa strategia, basata sullo sfruttamento della fiducia tra partner commerciali, rende l’attacco particolarmente insidioso: i fornitori terzi dispongono spesso di accessi privilegiati a sistemi e dati sensibili, diventando un punto d’ingresso ideale.

A rendere questi attacchi ancora più pericolosi è la loro complessità e scalabilità. Il codice malevolo può essere introdotto in qualsiasi fase della catena di fornitura, propagandosi poi verso decine o centinaia di organizzazioni collegate. Di conseguenza, un singolo compromesso può generare un impatto diffuso, con ripercussioni che si estendono ben oltre l’obiettivo iniziale, mettendo a rischio la continuità operativa, la reputazione e la conformità normativa di più realtà contemporaneamente.

Proprio perché sfruttano componenti considerati affidabili, alcuni degli attacchi più significativi alla supply chain hanno preso di mira librerie open source e pacchetti di gestione delle dipendenze, come quelli distribuiti tramite NPM (Node Package Manager). Nel paragrafo successivo esploreremo in dettaglio la natura di questi attacchi, i meccanismi tecnici con cui operano e alcuni casi reali che ne evidenziano il potenziale impatto sul software enterprise.

Attacchi NPM e casi reali

Tra le varie forme di compromissione della supply chain, gli attacchi ai pacchetti NPM (Node Package Manager) rappresentano uno dei vettori più insidiosi e studiati. Questi attacchi sfruttano la diffusione capillare delle librerie open source all’interno delle applicazioni moderne, dove una singola dipendenza compromessa può propagarsi automaticamente a decine o centinaia di progetti. Gli aggressori possono operare tramite typosquatting, creando pacchetti con nomi simili a quelli legittimi, o tramite l’inserimento di codice malevolo in librerie genuine, spesso approfittando di account compromessi degli sviluppatori.

Casi come la compromissione di librerie popolari come Colors e Faker.js (2022) e il recente attacco al repository di Node Package Managerdel settembre 2025, mostrano come un piccolo cambiamento in una dipendenza possa avere effetti devastanti sull’intero ecosistema di applicazioni. Il codice malevolo può esfiltrare dati, creare backdoor o compromettere processi critici, senza destare sospetti immediati, proprio perché si tratta di componenti fidati e ampiamente utilizzati.

Vediamo questi esempi nel dettaglio.

Colors e Faker.js (2022): sabotaggio da parte del manutentore

Nel gennaio 2022, i pacchetti NPM colors.js e faker.js, entrambi sviluppati e mantenuti da Marak Squires, sono stati sabotati dallo stesso autore. La versione 6.6.6 di faker.js è stata rilasciata con codice che generava un loop infinito, causando un Denial of Service (DoS) nei sistemi che la utilizzavano. Allo stesso modo, nel pacchetto colors.js è stato introdotto un codice che stampava ripetutamente dati casuali sulla console, interrompendo il normale funzionamento delle applicazioni.Questo atto di sabotaggio è stato motivato dal risentimento dell’autore nei confronti dell’uso gratuito dei suoi pacchetti da parte di grandi aziende. L’incidente ha avuto un impatto significativo, considerando che colors.js aveva oltre 3,3 miliardi di download e faker.js circa 272 milioni.

Attacco alla supply chain NPM (2025): compromissione su larga scala

Nei primi giorni di settembre 2025, il repository di Node Package Manager (NPM) è stato colpito da un attacco mirato che ha compromesso 18 pacchetti, tra cui chalk, debug, ansi-styles, supports-color, strip-ansi, utilizzati in milioni di progetti JavaScript. L’incidente è stato descritto nelle analisi internazionali come NPM Supply Chain Attack 2025.

L’accesso iniziale è stato ottenuto tramite una mail di phishing ai danni di uno dei manutentori di pacchetti interessati. Attraverso un’email costruita ad arte e falsificata per sembrare proveniente da npm, la vittima è stata indotta a fornire credenziali e codice di autenticazione multifattore per scongiurare un presunto blocco imminente dell’account. Sfruttando questo inganno, l’attore malevolo ha potuto accedere all’ambiente della vittima, modificare i file index.js e rilasciare versioni compromesse dei pacchetti, successivamente propagate all’interno degli ecosistemi JavaScript e Node.js.

Tecnicamente, il codice iniettato era offuscato e progettato per attivarsi in contesti browser/Node legati a operazioni Web3: intercettava chiamate correlate alle transazioni crittografiche e sostituiva gli indirizzi di destinazione con wallet controllati dagli aggressori, rendendo l’attacco particolarmente efficace contro applicazioni che integrano funzionalità crypto o wallet nel front‑end. La natura dell’iniezione – modifiche a release ufficiali e utilizzo di meccanismi già presenti nelle pipeline di sviluppo (installazioni automatiche delle dipendenze) – ha permesso una propagazione rapida e silente, considerando che i pacchetti compromessi totalizzavano oltre 2 miliardi di download settimanali complessivi.

Gli indicatori osservati includevano

• file JavaScript offuscati inseriti nelle versioni pubblicate
• rewriting degli script che manipolavano oggetti DOM o hooks di Web3 (per intercettare e sostituire indirizzi)
• l’uso di domini di phishing creati ad hoc (es.npmjs.help) per indurre i manutentori al reset delle credenziali.

La rimozione del pacchetto compromesso e il contenimento della diffusione si sono rivelati più complessi del previsto, perché i build system spesso conservano copie in cache delle librerie e le dipendenze transitive fanno sì che la versione infetta si propaghi automaticamente ai progetti che la utilizzano indirettamente.

Questo evento conferma due punti critici per le difese della software supply chain

• la vulnerabilità umana e di processo (manutentori e token compromessi)
• la necessità di controlli tecnici a più livelli – autenticazione forte e monitorata per gli account di publishing, scansione automatica dei pacchetti pubblicati (SCA + behavioural analysis), validazione dei release artifacts (firmatura, SBOM) e procedure di containment per purge di cache e rollback automatici nelle pipeline CI/CD.

Gli eventi come l’attacco NPM del 2025 dimostrano come la sicurezza della supply chain non possa più limitarsi al perimetro aziendale. La gestione dei fornitori, il monitoraggio continuo dei componenti software e l’adeguamento alle normative di sicurezza diventano elementi strategici. In questo contesto, ELMI supporta le aziende con servizi di monitoraggio continuo, managed services e adeguamento normativo (NIS2, DORA), offrendo una protezione integrata e proattiva dell’intera catena del valore digitale.

Sicurezza e compliance della supply chain: l’approccio integrato di ELMI

La crescente complessità e interconnessione delle catene di fornitura digitali rende indispensabile un approccio integrato alla cybersecurity e alla compliance normativa. In questo contesto,ELMI, System Integrator con quarant’anni di esperienza, affianca le aziende nella protezione della supply chain e nella gestione dei rischi attraverso quattro leve principali:

• Adeguamento alle normative europee
  • Supporto completo per il rispetto di NIS2 e DORA, con analisi dei requisiti, mappatura dei rischi e implementazione di policy interne coerenti con le best practice di sicurezza.
  • Definizione di procedure e controlli per garantire la conformità continua e la tracciabilità degli interventi.
• Monitoraggio continuo dei sistemi IT
  • Sorveglianza proattiva di infrastrutture, applicazioni e dipendenze software, con rilevamento tempestivo di anomalie, vulnerabilità e comportamenti sospetti.
  • Analisi integrata di log ed eventi di sicurezza per anticipare possibili compromissioni della supply chain, inclusi pacchetti open source e librerie di terze parti.
• Third Party Risk Assessment
  • Valutazione strutturata del livello di rischio dei fornitori attraverso strumenti avanzati di analisi e piattaforme dedicate alla misurazione continua dell’esposizione cyber. Questi sistemi permettono di ottenere una visibilità completa sulle criticità dei partner esterni e sulla loro postura di sicurezza, supportando decisioni informate e la mitigazione dei rischi sistemici all’interno della supply chain digitale.
• Managed services e risposta agli incidenti
  • Servizi gestiti per la protezione, manutenzione e aggiornamento continuo dei sistemi critici, riducendo il rischio operativo e garantendo continuità di business.
  • Supporto operativo in caso di incidenti, con procedure consolidate di containment, remediation e ripristino rapido, minimizzando l’impatto di eventuali attacchi.

La solidità dei servizi ELMI, inoltre, è garantita dalle competenze di unteam specializzato: professionisti certificati su standard “vendor neutral” come CompTIA, Cisco CCNA e Security Blue Team.Un gruppo multidisciplinare che combina esperienza su tecnologie enterprise e soluzioni verticali, garantendo una gestione end-to-end dei temi di cybersecurity, compliance e resilienza della supply chain digitale.

Le attività operative –Security Operation Center(SOC), Network Operation Center e managed services – sono coordinate all’interno del Security Competence Center di ELMI, che centralizza competenze, processi e tecnologie, assicurando una gestione strutturata e continua del rischio lungo l’intera supply chain digitale.

Grazie a questo approccio integrato, ELMI consente alle aziende di combinare sicurezza, compliance e resilienza operativa, trasformando la protezione della supply chain digitale in un vantaggio competitivo e strategico.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.