Attacco massiccio alla supply chain di NPM colpisce i wallet cripto

La recente violazione della supply chain di npm mostra quanto possano essere fragili gli ecosistemi open source quando la fiducia in un singolo account di maintainer viene compromessa. Gli hacker hanno ingannato il maintainer di chalk, debug, ansi-styles e di diversi altri pacchetti npm molto popolari con un’email di phishing mascherata da supporto ufficiale. Una volta ottenuto l’accesso, hanno inserito codice malevolo in 18 pacchetti npm che insieme contano oltre due miliardi di download settimanali. Miliardi di download legati a librerie che gli sviluppatori includono quasi senza pensarci.

Codice malevolo prende di mira wallet cripto come MetaMask

Il codice dannoso era progettato con un unico scopo: colpire i wallet cripto. Una volta installato, scansionava i wallet basati su browser come MetaMask. Al momento dell’approvazione di una transazione, sostituiva in modo silenzioso l’indirizzo del destinatario con uno controllato dagli attaccanti. Dal punto di vista dell’utente, nulla sembrava sospetto. L’interfaccia del wallet mostrava lo stesso flusso, ma i fondi finivano altrove. Questo tipo di furto invisibile è difficile da rilevare finché il denaro non è già sparito.

Reazione rapida della community limita i danni finanziari

Sorprende quanto poco siano riusciti a rubare gli attaccanti. Finora, le segnalazioni parlano di un totale inferiore ai 500 dollari. Considerando la portata di questi pacchetti npm, la cifra avrebbe potuto essere molto più alta. La rapida reazione della community open source ha fatto la differenza. I ricercatori di sicurezza hanno individuato la compromissione, segnalato le versioni malevole e coordinato la loro rimozione nel giro di poche ore. Questa risposta ha probabilmente evitato perdite ben più ingenti.

I rischi degli attacchi alla supply chain si diffondono attraverso le dipendenze

Un attacco alla supply chain che parte da un solo account compromesso può propagarsi all’intero ecosistema. Molti sviluppatori non hanno mai installato direttamente chalk o debug, eppure sono stati comunque esposti tramite dipendenze indirette. Le moderne catene di fornitura del software funzionano così: una piccola modifica alla fonte si propaga a cascata. Poiché la maggior parte dei progetti si aggiorna automaticamente, il codice malevolo si è diffuso rapidamente e in silenzio prima che qualcuno se ne accorgesse.

Precedenti incidenti mostrano una tendenza in crescita negli attacchi alla supply chain

La compromissione di event-stream nel 2018 aveva introdotto codice malevolo in profondità nell’albero delle dipendenze per rubare wallet Bitcoin. PyPI ha visto pacchetti dirottati che installavano strumenti per sottrarre credenziali. Anche la violazione di SolarWinds, sebbene non riguardasse pacchetti npm, seguiva la stessa logica della supply chain, inserendo una backdoor in un software considerato affidabile. Gli attaccanti continuano a preferire questa strada perché offre scala e invisibilità, vantaggi che gli attacchi diretti agli utenti finali non garantiscono.

Per le organizzazioni, le lezioni sono sempre più chiare. La gestione delle dipendenze non può essere lasciata senza controllo. Strumenti che verificano e bloccano le versioni sono importanti, ma lo è anche il monitoraggio in fase di esecuzione per intercettare comportamenti sospetti, come agganci inaspettati ai wallet cripto. Rafforzare la sicurezza per i maintainer open source può ridurre il rischio di nuovi successi del phishing. E i team devono partire dal presupposto che le supply chain open source resteranno un bersaglio primario, rendendo la resilienza più importante della fiducia cieca.

Il modello di fiducia dell’open source resta una vulnerabilità centrale

La lezione più ampia riguarda il modello di fiducia nell’open source. Gli sviluppatori si affidano in larga misura a pacchetti mantenuti da singoli individui che spesso svolgono questo lavoro senza un forte supporto istituzionale. Ed è proprio quella fiducia che gli attaccanti sfruttano. Se un maintainer cade vittima di phishing, gli effetti possono propagarsi su milioni di applicazioni. Questo incidente dimostra ancora una volta che la sicurezza non riguarda solo la correzione dei bug, ma l’intera catena che va dal maintainer all’utente finale.

Con i wallet cripto come obiettivo finale, la posta in gioco è ancora più alta. Gli utenti non si accorgono della sostituzione di un indirizzo finché i fondi non spariscono, e a differenza della finanza tradizionale, non esiste un processo di recupero una volta inviato il cripto. Il fatto che gli attaccanti abbiano testato questo metodo su scala così vasta, anche se hanno ottenuto solo un guadagno minimo, segnala che nuovi tentativi sono probabili. La risposta della community è stata rapida questa volta, ma servirà una vigilanza costante.