Sai quella sensazione quando scarichi un pacchetto npm e ti dici: “Ma chi me lo fa fare di usare qualcosa che non ho scritto io”? Bene, ora hai un motivo in più per essere paranoico. Axios, il client HTTP più usato nel mondo JavaScript, è stato appena compromesso in modo elegante e subdolo.
La storia inizia con due versioni maligne (1.14.1 e 0.30.4) che sono state pubblicate su npm. L’attaccante ha preso il controllo dell’account di un maintainer e ha iniettato una dipendenza nascosta chiamata plain-crypto-js@4.2.1. Questa dipendenza non viene mai importata nel codice di axios, ma ha un solo scopo: eseguire uno script postinstall che scarica un Remote Access Trojan (RAT) cross-platform. Sì, avete capito bene: il tuo pacchetto preferito per le chiamate HTTP è diventato un cavallo di Troia.
Ma la cosa più inquietante? Dopo aver fatto il suo lavoro sporco, il malware si cancella e sostituisce il proprio package.json con una versione “pulita” per evitare di essere scoperto. Insomma, un lavoro da professionisti del crimine informatico.
Se pensavi che gli attacchi supply chain fossero roba da film, beh, ora è realtà. Questo attacco è stato così ben orchestrato che è stato rilevato solo grazie a strumenti avanzati come StepSecurity Harden-Runner, che ha notato connessioni sospette durante le build CI.
Per noi smanettoni, maker e hacker, questo è un promemoria importante: anche i pacchetti più affidabili possono essere compromessi. Ecco alcune lezioni pratiche:
1. **Sii paranoico**: Controlla sempre le dipendenze e usa strumenti come npm audit per rilevare vulnerabilità.
2. **Non fidarti, verifica**: Se vedi un pacchetto sospetto, ispeziona il codice prima di installarlo. Anche se è axios.
3. **Usa sandbox**: Se lavori su progetti importanti, considera l’uso di ambienti isolati per testare le dipendenze.
4. **Aggiorna con cautela**: Anche se un aggiornamento sembra legittimo, controlla sempre le note di rilascio e le firme delle versioni.
5. **Non sottovalutare il postinstall**: Gli script postinstall possono essere pericolosi. Leggi sempre cosa fanno prima di eseguirli.
La community di StepSecurity sta organizzando un webinar per spiegare meglio l’attacco e le contromisure. Se sei interessato, registrati pure. Ma nel frattempo, fate attenzione a cosa installate. Il mondo npm è pieno di insidie, e oggi abbiamo visto quanto possa essere pericoloso.
E ora, torniamo a smanettare con i nostri Raspberry Pi e Arduino, ma con un occhio di più sulle dipendenze. Stay safe, coders!
Source: Axios compromised on NPM – Malicious versions drop remote access trojan