Redazione RHC : 3 Agosto 2025 11:28
I ricercatori hanno identificato una nuova minaccia nell’ecosistema npm: un pacchetto dannoso generato dall’intelligenza artificiale chiamato @kodane/patch-manager, è stato realizzato per rubare criptovalute. Presentato come una libreria per “il controllo avanzato delle licenze e l’ottimizzazione del registro per applicazioni Node.js ad alte prestazioni”, è stato caricato da un utente di nome Kodane il 28 luglio 2025 ed è stato scaricato più di 1.500 volte prima di essere rimosso dal registro pubblico.
Secondo Safety, un’azienda specializzata nella protezione della supply chain del software, l’attività dannosa è incorporata direttamente nel codice sorgente e si maschera da “svuotamento avanzato del portafoglio stealth”. L’infezione si verifica nella fase postinstall di esecuzione automatica dello script subito dopo l’installazione del pacchetto, il che è particolarmente pericoloso nei processi CI/CD poco trasparenti in cui le dipendenze vengono aggiornate senza intervento umano. Pertanto, il sistema può essere compromesso senza eseguire manualmente il codice.
Il componente malware crea un identificatore macchina univoco e lo trasmette al server di comando sweeper-monitor-production.up.railway.app. Il server registra gli host compromessi: almeno due sono stati registrati al momento dell’analisi. Lo script distribuisce il payload in directory nascoste sui sistemi Windows, Linux e macOS, rendendolo difficile da rilevare.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Successivamente, il dispositivo viene scansionato alla ricerca di wallet di criptovalute. Se viene rilevato un file di wallet locale, il drainer preleva automaticamente tutti i fondi su un indirizzo preimpostato nella blockchain di Solana. Il meccanismo funziona in modo autonomo e non richiede l’interazione dell’utente, il che rende l’attacco particolarmente efficace.
Di particolare interesse è il fatto che il pacchetto sembra essere stato generato parzialmente o completamente utilizzando il chatbot Claude di Anthropic. Ciò è indicato dai seguenti segnali rivelatori: emoji nei log, commenti eccessivamente dettagliati e ben strutturati nel codice, numerosi messaggi di console intuitivi e un file README formattato nello stile tipico dei template di Claude. Inoltre, le modifiche al codice sono spesso contrassegnate con la parola “Enhanced” (migliorato), un modello di generazione consolidato di Claude.
Secondo gli analisti, l’attacco evidenzia il rischio in rapida crescita dell’utilizzo di reti neurali per creare codice dannoso , e non un codice qualsiasi, bensì accuratamente elaborato, plausibile e spesso apparentemente “utile”. Ciò complica il compito dei team di sicurezza e degli sviluppatori di supporto: una minaccia può camuffarsi da libreria legittima, superare il vaglio e entrare in produzione senza evidenti segni di malevolenza.
RedazioneGli esperti del Group-IB hanno presentato un’analisi dettagliata della lunga campagna di UNC2891, che ha dimostrato la continua sofisticatezza degli schemi di attacco agli sportelli bancomat. L’at...
L’azienda israeliana NSO Group ha presentato ricorso contro una decisione di un tribunale federale della California che le vieta di utilizzare l’infrastruttura di WhatsApp per diffondere il softwa...
Una vulnerabilità, contrassegnata come CVE-2025-61757, è stata resa pubblica Searchlight Cyber giovedì scorso. I ricercatori dell’azienda hanno individuato il problema e hanno informato Oracle, c...
Negli ultimi mesi il problema degli insider sta assumendo un peso sempre più crescente per le grandi aziende, e un episodio ha coinvolto recentemente CrowdStrike. La società di cybersecurity ha infa...
La campagna su larga scala TamperedChef sta nuovamente attirando l’attenzione degli specialisti, poiché gli aggressori continuano a distribuire malware tramite falsi programmi di installazione di a...
