I pacchetti npm collegati alla Corea del Nord impersonano strumenti polyfill di Rollup per rubare segreti degli sviluppatori

I pacchetti npm collegati alla Corea del Nord impersonano strumenti polyfill di Rollup per rubare segreti degli sviluppatori

      TL;DR Sei pacchetti npm malevoli che imitano gli strumenti di polyfill di Rollup hanno rubato le credenziali degli sviluppatori e abilitato l'accesso remoto in una campagna collegata a Lazarus. I ricercatori di sicurezza di JFrog hanno identificato un insieme di pacchetti npm malevoli collegati a attori minacciosi nordcoreani che impersonano strumenti di polyfill di Rollup legittimi per rubare le credenziali degli sviluppatori e abilitare l'accesso remoto a macchine compromesse. I pacchetti, denominati “rollup-packages-polyfill-core” e “rollup-runtime-polyfill-core,” imitano il legittimo progetto “rollup-plugin-polyfill-node” fino alla sua descrizione, ai metadati del repository e alla struttura del pacchetto. Tutti e sei i pacchetti della campagna sono stati successivamente rimossi dal registro npm. L'attacco utilizza una catena di consegna a più livelli progettata per eludere il rilevamento. I pacchetti di primo livello installano dipendenze nascoste di secondo livello travestite da utilità SVG, che poi recuperano un oggetto JSON da un servizio di hosting remoto ed eseguono il payload incorporato in esso. JFrog ha dichiarato che la struttura, combinata con nomi simili, metadati dall'aspetto legittimo e controlli ambientali progettati per evitare sandbox e piattaforme di sviluppo cloud, è coerente con le precedenti campagne npm collegate a Lazarus. Una volta eseguiti i livelli successivi, il malware fornisce all'attaccante sia capacità di raccolta che di controllo su tutta la macchina compromessa. Il payload ruba dati dai browser web e dai portafogli di criptovalute, cattura periodicamente il contenuto degli appunti e raccoglie file che corrispondono a estensioni specifiche. Mira anche alle configurazioni degli strumenti per sviluppatori per VS Code, Windsurf e Cursor, insieme alle credenziali per AWS, Microsoft Azure, Google Gemini, Anthropic Claude e chiavi SSH. La campagna non è un incidente isolato. Ad aprile, i ricercatori di Panther hanno documentato un'operazione npm Lazarus sostenuta che ha pubblicato 108 pacchetti malevoli in 261 versioni per consegnare BeaverTail e OtterCookie, due famiglie di malware nordcoreane note collegate alla campagna Contagious Interview. Gli ultimi pacchetti condividono caratteristiche con OtterCookie, inclusa l'uso di una libreria di controllo della tastiera e del mouse forkata che consente sessioni di terminale remoto interattive, cattura di screenshot e input utente simulato su macchine Windows compromesse. La divulgazione arriva insieme a un'ondata più ampia di attacchi alla supply chain che prendono di mira i repository di pacchetti open-source. Checkmarx, SafeDep e il ricercatore AWS Chi Tran hanno identificato separatamente cluster di pacchetti malevoli su npm e PyPI che rubano credenziali cloud, portafogli di criptovalute, chiavi SSH e segreti degli sviluppatori. I plugin di Rollup vengono comunemente caricati dalle workstation degli sviluppatori e dalle pipeline di build CI, ambienti che si sono dimostrati sempre più vulnerabili a compromessi della supply chain e che spesso detengono accesso a beni sensibili tra cui codice sorgente, chiavi API e segreti di progetto.

      

      

       Pubblicato il 3 luglio 2026 - 16:55 UTC

      

       Torna in cima

Altri articoli

Tesla lancia il Model Y Long Wheelbase a sei posti negli Stati Uniti a 61.990 dollari Tesla lancia il Model Y Long Wheelbase a sei posti negli Stati Uniti a 61.990 dollari La Model Y allungata di Tesla aggiunge una terza fila, sedili da capitano e FSD incluso per 61.990 dollari, con le consegne da Giga Texas che iniziano a settembre. Alibaba vieta Claude Code per il tracciamento nascosto degli utenti cinesi Alibaba vieta Claude Code per il tracciamento nascosto degli utenti cinesi Alibaba ha classificato il Claude Code di Anthropic come software ad alto rischio dopo che i ricercatori hanno trovato marcatori steganografici che segnalavano gli utenti cinesi in base al fuso orario e al proxy. L'industria dei chip avverte gli Stati Uniti contro l'ingerenza nel mercato della memoria L'industria dei chip avverte gli Stati Uniti contro l'ingerenza nel mercato della memoria Il gruppo di chip SEMI ha avvertito l'amministrazione Trump che intervenire nella carenza di memoria guidata dall'IA non farebbe altro che peggiorare la pressione sull'offerta. Tesla lancia il Model Y Long Wheelbase a sei posti negli Stati Uniti a 61.990 dollari Tesla lancia il Model Y Long Wheelbase a sei posti negli Stati Uniti a 61.990 dollari La Model Y allungata di Tesla aggiunge una terza fila, sedili da capitano e FSD incluso per 61.990 dollari, con le consegne da Giga Texas che iniziano a settembre. Questa app di identificazione dei fiori trasforma ogni passeggiata in Pokémon Go per piante. Questa app di identificazione dei fiori trasforma ogni passeggiata in Pokémon Go per piante. flormie trasforma l'identificazione dei fiori in un ciclo di collezione in stile Pokémon Go più delicato, dando agli utenti iPhone un motivo per scansionare, salvare e notare fiori reali durante le passeggiate quotidiane senza il consueto caos dei giochi sociali. Il sogno del creatore di Pegasus punta alla nuova destra dell'America Latina Il sogno del creatore di Pegasus punta alla nuova destra dell'America Latina Dream, fondata dal creatore di Pegasus Shalev Hulio, mira ai governi latinoamericani allineati a Trump mentre gli attacchi informatici crescono del 25% all'anno nella regione.

I pacchetti npm collegati alla Corea del Nord impersonano strumenti polyfill di Rollup per rubare segreti degli sviluppatori

Pacchetti npm malevoli che imitano gli strumenti di polyfill di Rollup rubano dati del browser, portafogli crypto e credenziali di strumenti AI in una campagna collegata a Lazarus.