I ricercatori hanno identificato una nuova minaccia nell’ecosistema npm: un pacchetto dannoso generato dall’intelligenza artificiale chiamato @kodane/patch-manager, è stato realizzato per rubare criptovalute. Presentato come una libreria per “il controllo avanzato delle licenze e l’ottimizzazione del registro per applicazioni Node.js ad alte prestazioni”, è stato caricato da un utente di nome Kodane il 28 luglio 2025 ed è stato scaricato più di 1.500 volte prima di essere rimosso dal registro pubblico.
Secondo Safety, un’azienda specializzata nella protezione della supply chain del software, l’attività dannosa è incorporata direttamente nel codice sorgente e si maschera da “svuotamento avanzato del portafoglio stealth”. L’infezione si verifica nella fase postinstall di esecuzione automatica dello script subito dopo l’installazione del pacchetto, il che è particolarmente pericoloso nei processi CI/CD poco trasparenti in cui le dipendenze vengono aggiornate senza intervento umano. Pertanto, il sistema può essere compromesso senza eseguire manualmente il codice.
Il componente malware crea un identificatore macchina univoco e lo trasmette al server di comando sweeper-monitor-production.up.railway.app. Il server registra gli host compromessi: almeno due sono stati registrati al momento dell’analisi. Lo script distribuisce il payload in directory nascoste sui sistemi Windows, Linux e macOS, rendendolo difficile da rilevare.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Successivamente, il dispositivo viene scansionato alla ricerca di wallet di criptovalute. Se viene rilevato un file di wallet locale, il drainer preleva automaticamente tutti i fondi su un indirizzo preimpostato nella blockchain di Solana. Il meccanismo funziona in modo autonomo e non richiede l’interazione dell’utente, il che rende l’attacco particolarmente efficace.
Di particolare interesse è il fatto che il pacchetto sembra essere stato generato parzialmente o completamente utilizzando il chatbot Claude di Anthropic. Ciò è indicato dai seguenti segnali rivelatori: emoji nei log, commenti eccessivamente dettagliati e ben strutturati nel codice, numerosi messaggi di console intuitivi e un file README formattato nello stile tipico dei template di Claude. Inoltre, le modifiche al codice sono spesso contrassegnate con la parola “Enhanced” (migliorato), un modello di generazione consolidato di Claude.
Secondo gli analisti, l’attacco evidenzia il rischio in rapida crescita dell’utilizzo di reti neurali per creare codice dannoso , e non un codice qualsiasi, bensì accuratamente elaborato, plausibile e spesso apparentemente “utile”. Ciò complica il compito dei team di sicurezza e degli sviluppatori di supporto: una minaccia può camuffarsi da libreria legittima, superare il vaglio e entrare in produzione senza evidenti segni di malevolenza.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cyberpolitica
Cultura
Vulnerabilità
Cultura