Una campagna di attacco alla supply chain chiamata TrapDoor sta diffondendo malware in repository popolari come npm, PyPI e CratesIO. I pacchetti malevoli cercano di rubare le credenziali di sviluppatori ignari. La minaccia sfrutta la fiducia nel software open source per infiltrarsi negli ambienti di sviluppo.
Come TrapDoor infetta i pacchetti e evade il rilevamento 🛡️
TrapDoor utilizza tecniche di offuscamento del codice e nomi di pacchetti simili a librerie legittime per ingannare gli sviluppatori. Una volta installati, i pacchetti eseguono script che estraggono variabili d'ambiente, token di accesso e credenziali memorizzate nei file di configurazione. Gli aggressori poi esfiltrano i dati verso server remoti. Per mitigare il rischio, verifica l'autenticità di ogni pacchetto controllando la cronologia delle versioni, mantieni aggiornati gli scanner di sicurezza e utilizza strumenti di analisi statica.
Lo sviluppatore fiducioso e il suo pacchetto sospetto 😅
Perché niente dice fiducia come installare un pacchetto chiamato lodash-fix-urgente senza controllare il suo codice sorgente. TrapDoor conta sul fatto che tu pensi che aggiornare le dipendenze sia opzionale. Alla fine, il malware ride mentre tu cerchi di capire perché il tuo token AWS è apparso su un forum di hacker. Ricorda: verificare un pacchetto richiede cinque minuti; spiegare un furto di credenziali richiede un'eternità.