Hacker nordcoreani rilasciano 26 pacchetti npm dannosi

Una nuova minaccia alla catena di approvvigionamento mette in allerta gli sviluppatori. I ricercatori di sicurezza avvertono che hacker nordcoreani hanno caricato 26 pacchetti dannosi nel registro npm, con l’obiettivo di infettare i computer degli sviluppatori e rubare dati sensibili.

GoPlus 中文社区发推提醒，朝鲜黑客向 npm 注册表发布了一组 26 个恶意软件包，这些恶意软件包都附带一个安装脚本（install.js），该脚本会在软件包安装过程中自动执行，进而运行位于“vendor/scrypt-js/version.js”中的恶意代码，…

— 吴说区块链 (@wublockchain12) March 3, 2026

L’avviso, condiviso dalla community GoPlus il 3 marzo, collega la campagna al noto gruppo di hacker “Famous Chollima”. Secondo il rapporto, i pacchetti nascondono un trojan di accesso remoto (RAT) che si attiva durante l’installazione. L’incidente evidenzia i rischi crescenti negli ecosistemi open-source, in particolare per sviluppatori Web3 e di criptovalute.

Pacchetti dannosi nascosti in piena vista

I ricercatori affermano che gli aggressori hanno pubblicato 26 pacchetti falsi che imitano strumenti legittimi per sviluppatori, principalmente librerie di linting e utility. Ogni pacchetto include uno script install.js che si esegue automaticamente all’installazione. Una volta attivato, lo script esegue codice nascosto in vendor/scrypt-js/version.js, scaricando silenziosamente un trojan di accesso remoto da un URL malevolo.

Poiché le installazioni npm vengono spesso eseguite automaticamente negli ambienti di sviluppo, molti utenti potrebbero non accorgersi dell’infezione. Gli analisti di sicurezza sottolineano che questa tattica è efficace perché sfrutta i flussi di lavoro normali degli sviluppatori. In sintesi, il malware arriva mascherato da strumento di routine.

Cosa può fare il malware

Il RAT incorporato offre agli aggressori un accesso profondo ai sistemi infetti. Secondo l’avviso GoPlus, il malware può compiere diverse azioni pericolose: registrare le battute sulla tastiera, rubare dati dagli appunti e raccogliere credenziali dei browser. Inoltre, scansiona i sistemi con TruffleHog per individuare segreti esposti. Nei casi più gravi tenta di rubare repository Git e chiavi SSH. Per gli sviluppatori crypto, il rischio è ancora maggiore: chiavi o credenziali rubate potrebbero portare direttamente a violazioni di wallet o compromissioni di progetti. Per questo i team di sicurezza considerano la campagna ad alta gravità.

Collegamenti con il gruppo Famous Chollima

Le indagini hanno collegato l’attività all’operazione hacker nordcoreana nota come Famous Chollima, un gruppo monitorato da società di sicurezza almeno dal 2018. Il gruppo ha una storia di attacchi a sviluppatori, progetti crypto e piattaforme finanziarie.

Analisi recenti suggeriscono che la campagna utilizza tecniche avanzate di offuscamento. Alcuni rapporti menzionano metodi di steganografia che nascondono dati di comando e controllo in testi apparentemente innocui. L’infrastruttura del malware appare distribuita su più servizi di hosting, rendendo più difficile la rimozione. Questo schema è coerente con le operazioni nordcoreane precedenti, focalizzate su infiltrazioni a lungo termine piuttosto che attacchi rapidi.

Sviluppatori invitati a restare vigili

Gli esperti di sicurezza invitano gli sviluppatori a verificare le fonti dei pacchetti prima di installare dipendenze. Anche piccoli progetti possono diventare punti di ingresso per violazioni più ampie della catena di approvvigionamento. GoPlus ha avvertito gli utenti di evitare i pacchetti segnalati e di controllare attentamente gli alberi delle dipendenze. Si consiglia inoltre di attivare lockfile, strumenti di audit e monitoraggio in tempo reale.

L’incidente è un ulteriore promemoria che gli ecosistemi open-source rimangono obiettivi privilegiati per hacker legati a stati nazionali. Con la crescita dello sviluppo Web3 e crypto, i rischi aumentano. Per ora, gli esperti sottolineano che l’igiene di base — verificare i pacchetti e limitare la fiducia — rimane la difesa più efficace.