10 pacchetti npm scoperti a rubare credenziali degli sviluppatori su Windows, macOS e Linux

Ricercatori nel campo della cybersecurity hanno scoperto una serie di 10 pacchetti npm malevoli progettati per installare uno stealer di informazioni (information stealer) su sistemi Windows, Linux e macOS.

“Il malware utilizza quattro livelli di offuscamento per occultare il payload, mostra un CAPTCHA falso per apparire legittimo, fingerprinta le vittime via indirizzo IP e scarica un file da 24 MB (impacchettato con PyInstaller) che raccoglie credenziali da keyrings di sistema, browser e servizi di autenticazione” — ha spiegato Kush Pandya, ricercatore presso Socket Security.

I pacchetti infetti sono stati caricati nel registry npm il 4 luglio 2025 e hanno cumulato in totale oltre 9.900 download.

Tra i nomi utilizzati vi sono:

• deezcord.js
• dezcord.js
• dizcordjs
• etherdjs
• ethesjs
• ethetsjs
• nodemonjs
• react-router-dom.js
• typescriptjs
• zustand.js

Questi pacchetti sono esempi di typosquatting: imitavano nomi di librerie popolari (TypeScript, discord.js, ethers.js, nodemon, react-router-dom, zustand) per ingannare gli sviluppatori e spingerli all’installazione involontaria del componente malevolo.

Come funziona l’attacco

1. Esecuzione automatica post-install
   Il comportamento malevolo viene attivato automaticamente durante l’installazione, tramite uno script postinstall chiamato install.js. Questo script rileva il sistema operativo in uso e lancia un payload offuscato (app.js) in una nuova finestra di terminale (Prompt su Windows, GNOME terminal o altro terminale su Linux, Terminal su macOS).
2. Evasione visiva
   Aprendo una nuova finestra terminal, il malware si stacca dal processo npm, operando in background. Nel frattempo, chi sta installando percepisce un normale processo di setup, senza sospetti evidenti.
3. Offuscamento multilivello
   Il codice di app.js è nascosto tramite quattro livelli di offuscamento: cifratura XOR con chiave dinamica, url-encoding del payload, uso di operazioni esadecimali e ottali per camuffare il flusso del programma, e altre tecniche progettate per rendere difficile l’analisi statica.
4. Furto delle credenziali
   Una volta eseguito, il malware scarica ed esegue un binario “data_extracter” dal server remoto (indirizzo “195.133.79[.]43”), che analizza il sistema alla ricerca di chiavi, credenziali, sessioni attive, cookie, file di configurazione, chiavi SSH, token, ecc. In particolare, il codice mira ai keyrings di sistema — che conservano credenziali utilizzate da client email, sincronizzazione cloud, VPN, password manager e altri servizi — così da estrarre dati in chiaro.
5. Esfiltrazione
   Le informazioni raccolte vengono compresse in un archivio ZIP e trasferite al server dell’attaccante.

Implicazioni e raccomandazioni per la sicurezza

• Gli sviluppatori spesso assumono che un modulo npm con nome familiare (anche leggermente errato) sia sicuro: questo attacco dimostra il rischio reale del typosquatting nel contesto di librerie open source.
• L’uso massiccio di offuscamento rende molto più difficile per i controlli automatici (scanner statici) individuare comportamenti sospetti.
• L’aggiornamento continuo dei controlli sui registry, la verifica dell’integrità del pacchetto (es. con firme), e le analisi dinamiche possono aiutare a mitigare questo tipo di minacce.
• Gli sviluppatori devono:
  1. Verificare attentamente il nome dei pacchetti prima di installarli.
  2. Preferire pacchetti ben mantenuti e con reputazione consolidata (popolarità, manutentori verificati, firme).
  3. Impostare ambienti di test isolati per valutare pacchetti sconosciuti.
  4. Monitorare comportamenti anomali (es. processi in background, connessioni sospette, creazioni di file inattese).

Riferimenti

1. 10 npm Packages Caught Stealing Developer Credentials on Windows, macOS, and Linux

SOC