144 pacchetti infettati in 88 minuti: il nuovo volto degli attacchi alla catena del software

Bastano poco più di un'ora e un account compromesso per avvelenare il codice che migliaia di sviluppatori useranno senza accorgersene. È quanto accaduto il 17 giugno: un attaccante ha preso il controllo dell'organizzazione @mastra sul registro npm e, nel giro di circa 88 minuti, ha ripubblicato oltre 140 pacchetti con una dipendenza in più, malevola.

La trappola era ben costruita: la libreria iniettata si chiamava easy-day-js, un typosquat della popolarissima dayjs di cui copiava nome dell'autore, repository, licenza e numerazione delle versioni per ingannare i controlli. Una volta installata, eseguiva uno script che scaricava un secondo stadio del malware per poi auto-cancellarsi. I pacchetti coinvolti totalizzano oltre 1,1 milioni di download settimanali. Il punto d'ingresso, secondo le analisi, è stato un account di un contributore mai revocato; alcune società di sicurezza, tra cui Snyk e Orca, collegano le tecniche a un gruppo nordcoreano.

È l'ennesimo episodio di una minaccia ormai sistemica: gli attacchi alla catena di fornitura del software. Non si bersaglia più la singola azienda, ma le librerie open source da cui dipendono tutte. La difesa, qui, è meno appariscente di un firewall: significa verificare le dipendenze, bloccare gli aggiornamenti automatici di ciò che è critico, e trattare ogni pacchetto di terzi come codice di cui fidarsi solo dopo averlo controllato.

A little over an hour and a compromised account are enough to poison code that thousands of developers will use without noticing. That is what happened on June 17: an attacker took control of the @mastra organization on the npm registry and, within about 88 minutes, republished over 140 packages with one extra, malicious dependency.

The trap was well built: the injected library was called easy-day-js, a typosquat of the hugely popular dayjs, copying its author name, repository, license and version numbering to fool reviews. Once installed, it ran a script that downloaded a second-stage payload and then deleted itself. The packages involved total over 1.1 million weekly downloads. The entry point, according to the analyses, was a contributor account that was never revoked; some security firms, including Snyk and Orca, link the techniques to a North Korean group.

It is the latest episode of a now-systemic threat: software supply-chain attacks. The target is no longer the single company, but the open-source libraries everyone depends on. The defense, here, is less flashy than a firewall: it means verifying dependencies, blocking automatic updates of what is critical, and treating every third-party package as code to trust only after checking it.