I pacchetti npm collegati alla Corea del Nord impersonano strumenti polyfill di Rollup per rubare segreti degli sviluppatori
TL;DR Sei pacchetti npm malevoli che imitano gli strumenti di polyfill di Rollup hanno rubato le credenziali degli sviluppatori e abilitato l'accesso remoto in una campagna collegata a Lazarus. I ricercatori di sicurezza di JFrog hanno identificato un insieme di pacchetti npm malevoli collegati a attori minacciosi nordcoreani che impersonano strumenti di polyfill di Rollup legittimi per rubare le credenziali degli sviluppatori e abilitare l'accesso remoto a macchine compromesse. I pacchetti, denominati “rollup-packages-polyfill-core” e “rollup-runtime-polyfill-core,” imitano il legittimo progetto “rollup-plugin-polyfill-node” fino alla sua descrizione, ai metadati del repository e alla struttura del pacchetto. Tutti e sei i pacchetti della campagna sono stati successivamente rimossi dal registro npm. L'attacco utilizza una catena di consegna a più livelli progettata per eludere il rilevamento. I pacchetti di primo livello installano dipendenze nascoste di secondo livello travestite da utilità SVG, che poi recuperano un oggetto JSON da un servizio di hosting remoto ed eseguono il payload incorporato in esso. JFrog ha dichiarato che la struttura, combinata con nomi simili, metadati dall'aspetto legittimo e controlli ambientali progettati per evitare sandbox e piattaforme di sviluppo cloud, è coerente con le precedenti campagne npm collegate a Lazarus. Una volta eseguiti i livelli successivi, il malware fornisce all'attaccante sia capacità di raccolta che di controllo su tutta la macchina compromessa. Il payload ruba dati dai browser web e dai portafogli di criptovalute, cattura periodicamente il contenuto degli appunti e raccoglie file che corrispondono a estensioni specifiche. Mira anche alle configurazioni degli strumenti per sviluppatori per VS Code, Windsurf e Cursor, insieme alle credenziali per AWS, Microsoft Azure, Google Gemini, Anthropic Claude e chiavi SSH. La campagna non è un incidente isolato. Ad aprile, i ricercatori di Panther hanno documentato un'operazione npm Lazarus sostenuta che ha pubblicato 108 pacchetti malevoli in 261 versioni per consegnare BeaverTail e OtterCookie, due famiglie di malware nordcoreane note collegate alla campagna Contagious Interview. Gli ultimi pacchetti condividono caratteristiche con OtterCookie, inclusa l'uso di una libreria di controllo della tastiera e del mouse forkata che consente sessioni di terminale remoto interattive, cattura di screenshot e input utente simulato su macchine Windows compromesse. La divulgazione arriva insieme a un'ondata più ampia di attacchi alla supply chain che prendono di mira i repository di pacchetti open-source. Checkmarx, SafeDep e il ricercatore AWS Chi Tran hanno identificato separatamente cluster di pacchetti malevoli su npm e PyPI che rubano credenziali cloud, portafogli di criptovalute, chiavi SSH e segreti degli sviluppatori. I plugin di Rollup vengono comunemente caricati dalle workstation degli sviluppatori e dalle pipeline di build CI, ambienti che si sono dimostrati sempre più vulnerabili a compromessi della supply chain e che spesso detengono accesso a beni sensibili tra cui codice sorgente, chiavi API e segreti di progetto.
Pubblicato il 3 luglio 2026 - 16:55 UTC
Torna in cima
Altri articoli
I pacchetti npm collegati alla Corea del Nord impersonano strumenti polyfill di Rollup per rubare segreti degli sviluppatori
Pacchetti npm malevoli che imitano gli strumenti di polyfill di Rollup rubano dati del browser, portafogli crypto e credenziali di strumenti AI in una campagna collegata a Lazarus.
