Un presunto hacker nordcoreano ha violato e modificato un popolare strumento di sviluppo software program open supply per diffondere malware che potrebbe mettere a rischio di compromissione milioni di sviluppatori.
Lunedì, un hacker ha diffuso versioni dannose della libreria JavaScript ampiamente utilizzata chiamata Axios, su cui gli sviluppatori fanno affidamento per consentire al loro software program di connettersi a Web. La biblioteca interessata period ospitato su npmun repository software program che memorizza il codice per progetti open supply. Viene scaricato Axios decine di milioni di volte ogni settimana.
Secondo la società di sicurezza StepSecurity, il dirottamento è stato individuato e bloccato in circa tre ore nella notte tra lunedì e martedì. che ha analizzato l’attacco.
Gli hacker prendono sempre più di mira gli sviluppatori di popolari progetti open supply nel tentativo di hackerare in massa chiunque faccia affidamento sul codice compromesso, garantendo potenzialmente agli hacker l’accesso a un vasto numero di dispositivi interessati. Questo tipo di violazioni diffuse sono chiamate attacchi alla catena di fornitura perché prendono di mira il software program che consente agli hacker di hackerare chiunque abbia scaricato il software program compromesso. Negli ultimi anni, gli hacker hanno preso di mira aziende come 3CX, Kaseya e SolarWinds, nonché strumenti open supply come Log4j e Polyfill.io, per prendere di mira un gran numero di utenti.
Non è chiaro a questo punto quante persone abbiano scaricato la versione dannosa di Axios in quel lasso di tempo. Società di sicurezza Aikido, che ha anche indagato sull’incidenteha affermato che chiunque abbia scaricato il codice “dovrebbe presumere che il proprio sistema sia compromesso”.
Google ha dichiarato a TechCrunch che i suoi ricercatori sulla sicurezza stanno collegando la compromissione di Axios agli hacker nordcoreani.
“Abbiamo attribuito l’attacco a un sospetto attore nordcoreano da noi rintracciato UNC1069“, ha affermato John Hultquist, capo analista del Risk Intelligence Group di Google. “Gli hacker nordcoreani hanno una profonda esperienza con gli attacchi alla catena di fornitura, che storicamente hanno utilizzato per rubare criptovaluta. La portata complessiva di questo incidente non è ancora chiara, ma information la popolarità del pacchetto compromesso, prevediamo che avrà impatti di vasta portata”.
Evento Techcrunch
San Francisco, California
|
13-15 ottobre 2026
Contattaci
Hai ulteriori informazioni su questo trucco? O altri attacchi alla catena di fornitura? Da un dispositivo non lavorativo, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Sign al numero +1 917 257 1382, oppure tramite Telegram, Keybase e Wire @lorenzofb, o tramite e mail.
L’hacker è riuscito a inserire codice dannoso all’interno di Axios compromettendo l’account di uno dei principali sviluppatori del progetto, autorizzato a distribuire aggiornamenti. L’hacker ha sostituito l’indirizzo e mail dello sviluppatore legittimo sull’account con il proprio, rendendo più difficile per lo sviluppatore riottenere l’accesso.
Una volta preso il controllo dell’account, l’hacker ha inserito un codice dannoso progettato per fornire un trojan di accesso remoto, o RAT, essenzialmente un malware che può fornire agli hacker il controllo remoto completo del laptop della vittima. L’hacker ha quindi distribuito nuove versioni di Axios in un aggiornamento dall’aspetto legittimo per gli utenti Home windows, macOS e Linux.
Secondo i ricercatori di sicurezza, gli hacker hanno anche progettato il malware, così come parte del codice utilizzato per distribuirlo, in modo che si cancellasse automaticamente dopo l’installazione nel tentativo di nascondersi dai motori anti-malware e dagli investigatori.
Aggiornato per includere informazioni di Google sull’attribuzione alla Corea del Nord.
