Salta al contenuto

Piero Bosio Social Web Site Personale Logo Fediverso

Social Forum federato con il resto del mondo. Non contano le istanze, contano le persone
  • 0 Votazioni
    1 Post
    0 Visualizzazioni
    Si parla di:ToggleSei pacchetti npm, un nome quasi identico a un progetto scaricato oltre un milione di volte al mese, e in fondo alla catena un impianto capace di aprire sessioni SSH, leggere la clipboard e rovistare tra i wallet crypto della vittima. È l’ultima campagna di supply chain attribuita a gruppi legati alla Corea del Nord, documentata da JFrog Security Research il 30 giugno e ancora attiva nei repository pubblici a inizio luglio. Non è un incidente isolato: è l’ennesima iterazione di una macchina offensiva, quella riconducibile all’ecosistema Lazarus/Contagious Interview, che negli ultimi anni ha trasformato l’npm registry in un vettore di spionaggio e furto di criptovalute su scala industriale.Un travestimento quasi perfettoI ricercatori di JFrog hanno individuato due pacchetti “entry point”, rollup-packages-polyfill-core e rollup-runtime-polyfill-core, costruiti per somigliare in tutto e per tutto al legittimo rollup-plugin-polyfill-node: stesso tipo di README (“A modern Node.js polyfill for your Rollup bundle”), stesso link a repository e homepage puntati al progetto originale su GitHub, persino porzioni di codice del plugin reale copiate all’interno del pacchetto malevolo prima della logica dannosa. Il progetto legittimo conta circa 295.000 download settimanali e oltre 1,2 milioni nell’ultimo mese: un bersaglio ideale per un attacco che punta sulla somiglianza superficiale, non sul typosquatting grossolano.Il dettaglio tecnico più rilevante è che solo l’entry point CommonJS (dist/index.js) contiene la backdoor: le versioni ESM restano pulite, un accorgimento che complica le analisi automatiche basate su un singolo file di ingresso.La catena d’infezione, passo dopo passoAll’importazione del pacchetto, una funzione dal nome innocuo (ValidateSvgModule) decodifica una stringa base64 che nasconde il comando npm install swift-parse-stream --no-save --silent --no-audit --no-fund, eseguito in silenzio tramite child_process.spawn. Il secondo pacchetto, quirky-token, viene installato allo stesso modo dal gemello rollup-runtime-polyfill-core.Questi pacchetti di secondo stadio si presentano come utility di sanitizzazione SVG, e in gran parte lo sono davvero: rimuovono tag <script>, minificano il markup. Ma in coda al file, una funzione getPlugin() effettua una richiesta verso un endpoint su jsonkeeper.com, estrae un campo JSON chiamato model e lo passa direttamente a eval(). Il codice malevolo, quindi, non risiede mai nei file pubblicati sul registry: vive su un servizio di hosting JSON esterno, invisibile a qualunque analisi statica del pacchetto.Il payload recuperato da JSONKeeper effettua per primo un controllo ambientale, uscendo silenziosamente se rileva variabili tipiche di Codespaces, CodeSandbox, Vercel, AWS Lambda, Google Cloud, Azure Functions, Docker, Render o sandbox di analisi — un chiaro tentativo di colpire solo workstation di sviluppatori reali ed evitare l’esposizione in ambienti di test automatizzati. Superato il controllo, installa axios e socket.io-client e scarica da un IP grezzo (216.126.236.244) un blob cifrato in AES-256-CBC (chiave derivata via scryptSync), lo decifra, lo scrive in una directory temporanea come file pack e lo esegue con node pack.Controllo remoto, furto wallet e sorveglianza della clipboardIl modulo pack altro non è che un loader per almeno quattro componenti distinti, ricostruiti da JFrog in ambiente sandbox: scdata.js, un modulo di accesso remoto che installa ssh2, node-pty e librerie di cattura schermo/input, offrendo all’operatore sessioni terminali interattive (PowerShell su Windows, zsh altrove), sessioni SSH, screenshot, movimento del mouse e digitazione simulata tramite @nut-tree-fork/nut-js; ldata.js, dedicato al furto di dati da browser e wallet crypto, che tenta l’esfiltrazione di file come Login Data, Web Data e lo storage delle estensioni di wallet noti (incluso MetaMask, identificato tramite i suoi ID di estensione); un file collector che scandaglia il filesystem alla ricerca di chiavi SSH, file .env, cronologia di editor come VS Code, Cursor e Windsurf, e directory di configurazione di strumenti AI (.claude, .gemini, .cursor); infine un modulo di monitoraggio della clipboard, che invia ogni nuovo contenuto copiato — password, seed phrase, token — a un endpoint dedicato.La combinazione di queste capacità va ben oltre il semplice furto di credenziali una tantum: garantisce all’attaccante un accesso interattivo e persistente alla macchina compromessa, tipico degli impianti usati da attori state-sponsored per operazioni di raccolta informativa prolungata, non solo per il cash-out rapido tipico del cybercrime finanziario puro.Il contesto: non è la prima voltaQuesta campagna si inserisce in un pattern già documentato. Ad aprile 2026 la società Panther aveva descritto una campagna sostenuta con 108 pacchetti npm malevoli distribuiti in 261 versioni, veicolo dei malware BeaverTail e OtterCookie, entrambi associati al cluster Contagious Interview — l’insieme di operazioni nordcoreane che si finge selezione del personale per convincere sviluppatori a clonare repository infetti come parte di un finto colloquio tecnico. Nello stesso periodo, Google aveva collegato attori nordcoreani anche a un dirottamento di un progetto open source molto diffuso, portato a termine dopo settimane di lavoro di ingegneria sociale ai danni del maintainer. Il filo conduttore è sempre lo stesso: colpire la fiducia implicita che sviluppatori e pipeline CI/CD ripongono nelle dipendenze open source.Due righe per i difensoriPer i team di sicurezza e gli sviluppatori, la lezione operativa è chiara: la somiglianza del nome non è un indicatore affidabile di legittimità, e i controlli automatici basati su pattern di typosquotting classico (distanza di edit, caratteri sostituiti) non intercettano questo tipo di masquerading semantico. Chi ha installato uno dei pacchetti elencati dovrebbe considerare la macchina compromessa, ruotare tutte le credenziali (npm, GitHub, cloud, SSH, wallet) e verificare la presenza di processi o file residui nelle directory temporanee. Vale la pena ricordare che gran parte della logica dannosa non è mai stata pubblicata sul registry npm: bloccare gli indicatori di rete elencati sotto è quindi essenziale quanto rimuovere i pacchetti stessi.Indicatori di compromissionePacchetti npm malevoli: rollup-packages-polyfill-core rollup-runtime-polyfill-core swift-parse-stream quirky-token react-icon-svgs rollup-plugin-polyfill-connect Indicatori di rete: hxxps[:]//www[.]jsonkeeper[.]com/b/3P9BF hxxp[:]//216[.]126[.]236[.]244/api/service/98cb54c0b4ac259d30c9c1ca1ae87c68 hxxp[:]//216[.]126[.]236[.]244/api/service/makelog hxxp[:]//216[.]126[.]236[.]244/api/service/process/ hxxp[:]//216[.]126[.]236[.]244:4801 hxxp[:]//216[.]126[.]236[.]244:4806/upload hxxp[:]//216[.]126[.]236[.]244:4809/upload hxxp[:]//216[.]126[.]236[.]244:4809/cldbs Indicatori host: /pack /scdata /ldata vhost.ctl Comandi/comportamenti sospetti: npm install swift-parse-stream --no-save --silent --no-audit --no-fund npm install quirky-token --no-save --silent --no-audit --no-fund node pack node scdata node ldata
  • 0 Votazioni
    1 Post
    16 Visualizzazioni
    Gaslight: un attacco informatico in Rust che confonde i sistemi di analisi AI📌 Link all'articolo : https://www.redhotcyber.com/post/gaslight-un-attacco-informatico-in-rust-che-confonde-i-sistemi-di-analisi-ai/A cura di Luigi Zullo#redhotcyber #news #cybersecurity #hacking #malware #ransomware #gaslight #coreadelnord
  • 0 Votazioni
    1 Post
    12 Visualizzazioni
    Tutto in memoria! Gli hacker di stato di Lazarus cambiano tattica per il furto delle cripto📌 Link all'articolo : https://www.redhotcyber.com/post/tutto-in-memoria-gli-hacker-di-stato-di-lazarus-cambiano-tattica-per-il-furto-delle-cripto/A cura di Luigi Zullo#redhotcyber #news #cybersecurity #hacking #malware #gruppolazarus #coreadelnord #banche
  • 0 Votazioni
    1 Post
    0 Visualizzazioni
    Si parla di:ToggleIl panorama delle minacce avanzate ha appena acquisito una dimensione inedita e preoccupante: un malware nordcoreano progettato specificamente per manipolare i tool di analisi basati su intelligenza artificiale, non per sfuggire ai sandbox tradizionali. macOS.Gaslight, scoperto e analizzato dai ricercatori di SentinelOne Labs, introduce una tecnica mai vista in natura: la prompt injection direttamente nel binario, indirizzata ai pipeline di triage assistiti da LLM che oggi affiancano il lavoro degli analisti di sicurezza.Il contesto: l’escalation del malware DPRK per macOSLa Corea del Nord ha sviluppato negli anni una capacità offensiva su macOS di tutto rispetto, tipicamente orientata al furto di criptovalute e all’infiltrazione di aziende nel settore tecnologico e finanziario. I gruppi Lazarus, BlueNoroff e i loro cluster affiliati hanno già firmato strumenti come RustBucket, KANDYKORN e ObjCShellz. macOS.Gaslight si inserisce in questa filiera, ma aggiunge un elemento evolutivo significativo: la consapevolezza che i moderni workflow di analisi del malware si appoggiano sempre più a strumenti di triage automatizzato basati su LLM, e la volontà di sfruttare proprio questa dipendenza come vettore di evasione.La tecnica centrale: prompt injection contro l’analista, non contro il sandboxLa caratteristica distintiva di macOS.Gaslight è un payload da 3,5 KB embedded direttamente nel binario: un blob in formato Markdown contenente 38 messaggi di sistema fasulli, delimitati da token {{DATA}}. Questa struttura imita deliberatamente lo scaffold di un harness LLM per il triage del malware, rendendo indistinguibile il confine tra dati campione non attendibili e istruzioni attendibili del sistema.I messaggi fabricati simulano scenari di errore critici: scadenza del token, kill per esaurimento della memoria (OOM), esaurimento dello spazio su disco, ripetuti fallimenti operativi, avvisi di vulnerabilità da injection e flag da analisi statica. L’obiettivo, secondo SentinelOne, è far dubitare l’agente LLM della propria sessione di analisi, portandolo ad abortire o rifiutare l’esame del campione.«La sua caratteristica più notevole è una cascata di messaggi di sistema fabbricati, progettata per far dubitare un agente di triage assistito da LLM della propria sessione. Attacca la percezione dell’agente, non il sandbox in cui opera.»Phil Stokes, SentinelOne LabsArchitettura tecnica del malwareLinguaggio e firma: il binario è scritto in Rust, compilato per l’architettura macOS aarch64 (Apple Silicon). È firmato in modalità ad hoc e porta l’identificatore endpoint-macos-aarch64-5555494492fc075f441637fb9d894913dde3a2ea. Il campione era stato caricato su VirusTotal il 22 maggio 2026, prima che un aggiornamento di Apple XProtect lo intercettasse basandosi puramente sull’hash.Persistenza: il malware installa un LaunchAgent nel profilo utente, usando il label com.apple.system.services.activity nel file .plist, volutamente progettato per mimetizzarsi tra i processi di sistema legittimi di Apple. Per ottenere il percorso assoluto di se stesso da inserire nell’array ProgramArguments, il binario risolve a runtime la propria posizione tramite __NSGetExecutablePath.Comando e controllo: l’implant utilizza il Telegram Bot API come canale C2, entrando in un ciclo di polling con getUpdates che permette all’operatore di inviare istruzioni tramite una shell interattiva e ricevere i risultati. Una scelta operativa che sfrutta la legittimità del traffico Telegram per eludere blocchi di rete basati su reputazione dei dominio. Il malware si auto-censura eliminando il proprio token Telegram dall’output runtime, impedendo a chiunque catturi log o crash di recuperarlo.Modulo infostealer: incorporato nel binario è presente uno script Python da 6,6 KB codificato in Base64 che funge da suite di raccolta informazioni. Raccoglie: cronologia dei comandi del terminale, lista delle applicazioni installate, snapshot dei processi in esecuzione, profilo hardware e software del sistema, il database Keychain di macOS e credenziali salvate nei browser Chrome, Brave, Firefox e Safari. I dati raccolti vengono compressi in un archivio ZIP (temp/collected_data.zip) e caricati su Telegram.Due righe per i difensorimacOS.Gaslight segna un punto di svolta: per la prima volta in natura si documenta l’uso della prompt injection come tecnica di evasione nei confronti dei pipeline di analisi automatizzata del malware. Non è più sufficiente affidarsi esclusivamente all’AI-assisted triage per la classificazione di campioni sospetti; i team di sicurezza devono implementare approcci a difesa in profondità che combinino analisi statica tradizionale, sandbox comportamentali e revisione umana.Per quanto riguarda la detection su endpoint macOS, è consigliabile monitorare creazioni di LaunchAgent con label che imitano naming convention Apple (com.apple.*), connessioni uscenti verso l’API di Telegram (api.telegram.org) da processi non familiari, accessi al database Keychain da processi non autorizzati, e la creazione di archivi ZIP in directory temporanee non standard.Indicatori di compromissione (IoC)# Identificatore binario endpoint-macos-aarch64-5555494492fc075f441637fb9d894913dde3a2ea # Persistenza LaunchAgent Label: com.apple.system.services.activity Path: ~/Library/LaunchAgents/com.apple.system.services.activity.plist # File creato durante esfiltrazione temp/collected_data.zip # Traffico di rete C2 api.telegram.org (polling via getUpdates) # Caratteristiche binario Arch: macOS aarch64 (Apple Silicon) Linguaggio: Rust Firma: ad hoc signedL’analisi completa con ulteriori indicatori tecnici è disponibile nel report originale di SentinelOne Labs. La scoperta rafforza la necessità di trattare qualsiasi output di analisi AI di campioni sconosciuti con un livello aggiuntivo di scetticismo, verificando manualmente le conclusioni quando i tool automatizzati segnalano errori di sessione o fallimenti operativi insoliti durante il triage.
  • 0 Votazioni
    1 Post
    29 Visualizzazioni
    Il rischio cyber arriva dalle nuove assunzioni! NKITW: La rete della Corea Del Nord📌 Link all'articolo : https://www.redhotcyber.com/post/il-rischio-cyber-arriva-dalle-nuove-assunzioni-nkitw-la-rete-della-corea-del-nord/A cura di Bajram Zeqiri#redhotcyber #news #coreadelnord #sanzioniinternazionali #cybersecurity #hacking #malware #ransomware
  • 0 Votazioni
    1 Post
    36 Visualizzazioni
    Dentro a Lazarus! Il falso candidato che ha ingannato i cyber-spioni nordcoreani📌 Link all'articolo : https://www.redhotcyber.com/post/dentro-a-lazarus-il-falso-candidato-che-ha-ingannato-i-cyber-spioni-nordcoreani/#redhotcyber #news #cybersecurity #hacking #coreadelnord #lazarus #sicurezzainformatica #identitarubate
  • 0 Votazioni
    1 Post
    29 Visualizzazioni
    La Corea del Nord riorganizza la sua intelligence con una nuova agenzia📌 Link all'articolo : https://www.redhotcyber.com/post/la-corea-del-nord-riorganizza-la-sua-intelligence-con-una-nuova-agenzia/#redhotcyber #news #coreadelnord #intelligence #gird #direzionegeneraledellintelligence #monitoraggiosatellitare #intercettazionesegnali #operazionidi rete #raccoltadiinformazioni #security #informazioni #intelligencemilitare #cybersecurity