I ricercatori di cybersecurity hanno rilevato un nuovo worm auto-propagante nell'ecosistema npm. Battezzato CanisterSprawl, questo attacco utilizza token di sviluppatori rubati per compromettere pacchetti e diffondersi automaticamente. Socket e StepSecurity avvertono che la minaccia è già attiva, sfruttando credenziali filtrate per infettare repository e rubare dati tramite un contenitore ICP.
Meccanismo di auto-propagazione nella supply chain 🧬
Il worm opera tramite credenziali npm rubate, che consentono agli aggressori di pubblicare versioni dannose di pacchetti legittimi. Una volta installato, il codice malevolo cerca token aggiuntivi nell'ambiente dello sviluppatore per infettare nuovi progetti. Il contenitore ICP funge da server per l'estrazione dei dati rubati. Socket e StepSecurity sottolineano che la propagazione è automatica e può compromettere l'intera supply chain del software se i token interessati non vengono revocati.
Il tuo token npm, la chiave maestra del vicino 🔑
A quanto pare, lasciare il tuo token npm in un repository pubblico è come lasciare le chiavi della macchina con i finestrini abbassati. Gli aggressori non solo entrano, ma invitano tutto il quartiere a usare il tuo veicolo. CanisterSprawl non è un worm qualsiasi: è il cugino pesante che arriva alla festa del codice, ruba le credenziali e se ne va senza pagare il giro. Ricorda: se non ruoti i tuoi token, qualcun altro li ruoterà per te.