L’ecosistema npm è finito nuovamente nel mirino degli attaccanti.
Secondo un’analisi di SafeDep, 314 pacchetti risultano infetti in quella che i ricercatori hanno denominato campagna “Mini Shai-Hulud”, un riferimento al comportamento auto-propagante del malware all’interno della supply chain JavaScript.
L’incidente riaccende i riflettori sulla sicurezza di uno dei repository più utilizzati al mondo per la distribuzione di librerie Node.js, con milioni di download quotidiani e integrazioni dirette nei pipeline CI/CD aziendali. Il pattern di attacco sfrutta meccanismi consolidati, ma con una capacità di diffusione orizzontale che lo rende particolarmente insidioso.
Come funziona l’attacco e come si propaga
Il punto di ingresso più comune è il furto di credenziali di pubblicazione, ottenuto tramite phishing o esposizione accidentale di token nei repository pubblici. Una volta preso il controllo di un pacchetto legittimo, il codice malevolo viene inserito nelle fasi di installazione, in particolare negli hook preinstall e postinstall, meccanismi nativi di npm pensati per automazioni legittime ma facilmente abusabili per eseguire comandi non autorizzati sui sistemi degli sviluppatori o direttamente nei pipeline di build.
