Paqueti falsi nordcoreani rubano segreti su npm

04 July 2026 Pubblicato | Tradotto dallo spagnolo

Un gruppo di pacchetti software falsi, collegati alla Corea del Nord, si è infiltrato nella piattaforma npm spacciandosi per strumenti legittimi. L'obiettivo era rubare segreti degli sviluppatori, come chiavi di accesso e token. Per i cittadini, ciò implica che applicazioni o servizi che usiamo quotidianamente potrebbero essere stati compromessi a nostra insaputa, esponendo dati personali o finanziari. La conclusione è chiara: bisogna stare in allerta di fronte ad aggiornamenti sospetti e fidarsi solo di fonti verificate.

malicious npm package infiltration scene, developer workstation with terminal showing fake package installation process, code editor window displaying suspicious Node.js script with hidden token exfiltration function, network traffic visualization demonstrating data being siphoned to external server, glowing red alerts on dependency tree diagram, cinematic cybersecurity visualization, dark interface with neon warning highlights, realistic keyboard and monitor details, photorealistic technical illustration, dramatic low-key lighting emphasizing threat

Come ha operato la truffa nell'ecosistema npm 🛡️

Gli aggressori hanno pubblicato pacchetti con nomi simili a librerie note, come crossenv invece di cross-env. Una volta installati, eseguivano script dannosi che esfiltravano variabili d'ambiente, file di configurazione e credenziali di servizi cloud. La tecnica, nota come typosquatting, sfrutta la fiducia degli sviluppatori copiando nomi popolari. La portata è ampia: qualsiasi progetto che dipendesse da quei pacchetti potrebbe aver compromesso la propria catena di fornitura, colpendo aziende e utenti finali che utilizzano il software risultante.

La scusa perfetta per non aggiornare nulla 😅

Ora, quando il tuo capo ti chiederà di aggiornare tutte le dipendenze del progetto, potrai rispondere con faccia seria: Preferisco non rischiare che un hacker nordcoreano rubi il codice della calcolatrice dell'ufficio. Perché sì, a quanto pare anche il pacchetto più innocente può essere una trappola. Quindi già lo sai: prima di fare un npm install, controlla due volte il nome. O meglio, resta con la versione vecchia che funziona. La pigrizia tecnologica, finalmente, ha il suo lato positivo.