Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Fortinet 970x120px
Redhotcyber Banner Sito 320x100px Uscita 101125

Tag: npm

100 pacchetti di Infostealer caricati su NPM sfruttando le allucinazioni delle AI

Redazione RHC 30/10/2025

Da agosto 2024, la campagna PhantomRaven ha caricato 126 pacchetti dannosi su npm, che sono stati scaricati complessivamente oltre 86.000 volte. La campagna è stata scoperta da Koi Security, che ha riferito che gli attacchi sono stati abilitati da una funzionalità poco nota di npm che gli consente di aggirare la protezione e il rilevamento. Si sottolinea che al momento della pubblicazione del rapporto erano ancora attivi circa 80 pacchetti dannosi. Gli esperti spiegano che gli aggressori sfruttano il meccanismo Remote Dynamic Dependencies (RDD). In genere, uno sviluppatore vede tutte le dipendenze di un pacchetto in fase di installazione, scaricate dall’infrastruttura NPM

Una nuova campagna di phishing su NPM coinvolge 175 pacchetti dannosi

Redazione RHC 15/10/2025

Gli aggressori stanno abusando dell’infrastruttura legittima npm in una nuova campagna di phishing su Beamglea. Questa volta, i pacchetti dannosi non eseguono codice dannoso, ma sfruttano il servizio CDN legittimo unpkg[.]com per mostrare agli utenti pagine di phishing. Alla fine di settembre, i ricercatori di sicurezza di Safety hanno identificato 120 pacchetti npm utilizzati in tali attacchi, ma ora il loro numero ha superato i 175, riferisce la società di sicurezza Socket. Questi pacchetti sono progettati per attaccare oltre 135 organizzazioni nei settori energetico, industriale e tecnologico. Tra gli obiettivi figurano Algodue, ArcelorMittal, Demag Cranes, D-Link, H2 Systems, Moxa, Piusi, Renishaw, Sasol,

Una riga di codice aggiunta e migliaia di aziende violate. Questa la magia della Supply Chain!

Redazione RHC 27/09/2025

Gli sviluppatori hanno imparato ad avere fiducia negli strumenti che aiutano i loro assistenti AI a gestire le attività di routine, dall’invio di email all’utilizzo dei database. Ma questa fiducia si è rivelata vulnerabile: il pacchetto postmark-mcp, scaricato oltre 1.500 volte a settimana dalla versione 1.0.16, ha inoltrato silenziosamente copie di tutte le email a un server esterno di proprietà del suo autore. Corrispondenza aziendale interna, fatture, password e documenti riservati erano a rischio. L’incidente ha dimostrato per la prima volta che i server MCP possono essere utilizzati come un vero e proprio canale per attacchi alla supply chain. I ricercatori di

Malware Fezbox: il pacchetto NPM che ruba cookie con i QRCode

Redazione RHC 25/09/2025

I ricercatori hanno scoperto un pacchetto dannoso chiamato fezbox in npm che ruba i cookie delle vittime. Per garantire che l’attività dannosa rimanga inosservata, vengono utilizzati codici QR per scaricare il malware dal server degli aggressori. Secondo i ricercatori di Socket, gli aggressori hanno trovato un nuovo utilizzo per i codici QR: nascondere codice dannoso al loro interno. Gli analisti hanno segnalato che il pacchetto contiene istruzioni nascoste per scaricare un’immagine JPG con un codice QR, che viene poi elaborato per lanciare un payload offuscato come parte della seconda fase dell’attacco. Al momento della scoperta del malware, il pacchetto era stato scaricato

GitHub rafforza la sicurezza npm contro gli attacchi alla supply chain

Redazione RHC 24/09/2025

GitHub ha annunciato importanti modifiche al sistema di autenticazione e pubblicazione npm, volte a rafforzare la protezione contro gli attacchi alla supply chain. Gli aggiornamenti sono stati motivati dalla recente campagna Shai-Hulud, un worm dannoso e auto-propagante incorporato in centinaia di librerie npm. Non solo si replicava in altri pacchetti, ma scansionava anche i dispositivi degli sviluppatori alla ricerca di dati sensibili, tra cui chiavi e token, e li trasmetteva agli aggressori. In risposta all’incidente, GitHub ha annunciato che avrebbe presto eliminato i meccanismi di autorizzazione legacy e introdotto controlli più rigorosi. Le modifiche principali includono l’autenticazione a due fattori obbligatoria per

Supply Chain Wormable? Arrivano i pacchetti NPM con malware auto-propagante

Redazione RHC 18/09/2025

I ricercatori di sicurezza hanno scoperto la compromissione di oltre 180 pacchetti npm, infettati da un malware auto-propagante progettato per infettare altri pacchetti. La campagna, soprannominata Shai-Hulud, è probabilmente iniziata con l’hacking del pacchetto @ctrl/tinycolor, scaricato oltre 2 milioni di volte a settimana. Il nome Shai-Hulud deriva dai file shai-hulud.yaml utilizzati dal malware. È un riferimento ai giganteschi vermi delle sabbie di Dune di Frank Herbert. Il problema è stato portato per la prima volta all’attenzione dello sviluppatore Daniel Pereira, che ha avvisato la comunità di un attacco su larga scala alla catena di fornitura. “In questo momento, mentre leggete questo, è

“Vibe Coding” per il malware! Un pacchetto dannoso creato dalle AI si affaccia su NPM

Redazione RHC 03/08/2025

I ricercatori hanno identificato una nuova minaccia nell’ecosistema npm: un pacchetto dannoso generato dall’intelligenza artificiale chiamato @kodane/patch-manager, è stato realizzato per rubare criptovalute. Presentato come una libreria per “il controllo avanzato delle licenze e l’ottimizzazione del registro per applicazioni Node.js ad alte prestazioni”, è stato caricato da un utente di nome Kodane il 28 luglio 2025 ed è stato scaricato più di 1.500 volte prima di essere rimosso dal registro pubblico. Secondo Safety, un’azienda specializzata nella protezione della supply chain del software, l’attività dannosa è incorporata direttamente nel codice sorgente e si maschera da “svuotamento avanzato del portafoglio stealth”. L’infezione si verifica

NPM sotto Attacco: Un Trojan RAT scaricato un milione di volte Infetta 17 Popolari Pacchetti JavaScript

Redazione RHC 10/06/2025

Un altro grave attacco alla supply chain è stato scoperto in npm, che ha colpito 17 popolari pacchetti GlueStack @react-native-aria. Un codice dannoso che fungeva da trojan di accesso remoto (RAT) è stato aggiunto ai pacchetti, che sono stati scaricati più di un milione di volte. L’attacco alla supply chain è stato scoperto da Aikido Security, che ha notato codice offuscato incorporato nel file lib/index.js dei seguenti pacchetti: Nome del pacchetto Versione Numero di download settimanali @react-native-aria/pulsante 0.2.11 51.000 @react-native-aria/checkbox 0.2.11 81.000 @react-native-aria/combobox 0.2.10 51.000 @react-native-aria/divulgazione 0.2.9 3 @react-native-aria/focus 0.2.10 100.000 @react-native-aria/interazioni 0.2.17 125.000 @react-native-aria/listbox 0.2.10 51.000 @react-native-aria/menu 0.2.16 22.000 @react-native-aria/sovrapposizioni 0.3.16 96.000 @react-native-aria/radio

Allarme NPM: scoperti 60 pacchetti che rubano i tuoi dati con un semplice install

Redazione RHC 29/05/2025

I ricercatori di Socket hanno scoperto una campagna attiva che utilizza decine di pacchetti npm dannosi in grado di raccogliere e rubare informazioni dai sistemi delle vittime. Secondo gli esperti, nelle ultime due settimane, aggressori hanno pubblicato 60 pacchetti in npm contenenti un piccolo script che viene attivato durante l’installazione. Lo script è responsabile della raccolta di nomi host, indirizzi IP, elenchi di server DNS e percorsi di directory e della successiva trasmissione di queste informazioni agli aggressori tramite un webhook Discord. Lo script è rivolto agli utenti Windows, Linux e macOS, utilizza controlli di base per bypassare la sandbox ed è progettato specificamente

Google Calendar Sotto Tiro! Un Solo Carattere Nasconde Un Attacco Malware Avanzato

Redazione RHC 15/05/2025

I ricercatori di sicurezza hanno individuato un nuovo metodo d’attacco in cui i cybercriminali sfruttano gli inviti di Google Calendar per veicolare malware. La tecnica impiegata si basa su un sistema di offuscamento avanzato, dove un solo carattere apparentemente innocuo cela codice malevolo pronto a colpire. Questa tecnica sottolinea come gli attori delle minacce continuino a raffinare le proprie strategie, puntando su servizi considerati affidabili per bypassare le difese di sicurezza tradizionali. Nel marzo 2025, gli analisti di sicurezza di Aikido hanno individuato un pacchetto npm sospetto, denominato “os-info-checker-es6”. Sebbene apparisse come un modulo legittimo per la raccolta di informazioni sul sistema

Categorie