Una campagna di pacchetti NPM falsi mira agli utenti PayPal, esfiltrando dati sensibili e mettendo a rischio sviluppatori e aziende che integrano moduli infetti.
Autore: Redazione SecurityOpenLab
I cyber criminali stanno affinando le proprie tecniche per colpire piattaforme finanziarie di largo utilizzo, come per esempio PayPal, sfruttandone la popolarità e la fiducia degli sviluppatori. L’obiettivo è diffondere codice dannoso e sottrarre informazioni sensibili. Questo è quello che emerge da uno studio condotto dai FortiGuard Labs in relazione a una campagna che fa uso di pacchetti NPM malevoli, mascherati da moduli legittimi per PayPal, intercettati dalle soluzioni di malware detection di Fortinet.
La campagna è peraltro un chiaro esempio di attacco alla supply chain del software, oltre che la conferma del fatto che occorrono pratiche di sicurezza rigorose nella gestione delle dipendenze software per ridurre il rischio legato a questo tipo di eventi.
Ma torniamo allo studio di Fortinet. Il sistema automatizzato di analisi dei software open source ha rilevato e identificato comportamenti anomali e sospetti all’interno dei pacchetti pubblicati su repository pubblici come NPM. In particolare, l’indagine si è concentrata su una serie di pacchetti pubblicati tra il 5 e il 14 marzo 2025 da un threat actor identificato con gli pseudonimi tommyboy_h1 e tommyboy_h2, che ha pubblicato numerosi moduli in un ristretto arco temporale, tutti accomunati dall’obiettivo di colpire utenti PayPal.
Per comprendere la dinamica dell’attacco è utile chiarire cosa siano i pacchetti NPM, acronimo di Node Package Manager, il principale gestore di pacchetti per l’ecosistema JavaScript e Node.js. I suddetti pacchetti sono raccolte di codice riutilizzabile che gli sviluppatori possono integrare facilmente nei propri progetti per aggiungere funzionalità o semplificare lo sviluppo. La natura aperta e collaborativa di NPM favorisce l’innovazione, ma dall’altro espone la piattaforma al rischio di pubblicazione di pacchetti malevoli, che possono essere scaricati e installati inconsapevolmente da migliaia di sviluppatori.
Nel dettaglio dell’attacco descritto da FortiGuard Labs, quello che è avvenuto è stata la pubblicazione di pacchetti NPM con nomi quali oauth2-paypal o buttonfactoryserv-paypal, che li fanno sembrare legittimi e collegati a servizi noti. Questo aumenta la probabilità che gli sviluppatori, in cerca di moduli per integrare PayPal nei propri progetti, li installino senza sospetti. Nel caso in cui questo scenario si verificasse, il pacchetto attiverebbe automaticamente uno script malevolo tramite la funzione preinstall hook che viene eseguita prima ancora che il pacchetto sia effettivamente installato nel progetto. Così facendo il malware può agire in modo silente, eludendo sia l’attenzione dell’utente sia i controlli di sicurezza tradizionali.
Il compito dello script è la raccolta di informazioni dal sistema compromesso, tra cui il nome utente, la directory di lavoro e il nome dell’host. Per evitare la detection, queste informazioni esfiltrate vengono codificate in formato esadecimale e ulteriormente offuscate, quindi inviate a un server di comando e controllo remoto mediante URL generati dinamicamente, così da scongiurare un blocco delle comunicazioni.
Le informazioni esfiltrate possono essere utilizzate per sferrare attacchi mirati agli account PayPal delle vittime, per la vendita di dati sensibili sul darkweb o come base per ulteriori compromissioni dei sistemi aziendali.
Le prime vittime di questa campagna sono ovviamente gli sviluppatori e le aziende che utilizzano pacchetti NPM per integrare funzionalità PayPal nei propri progetti. Per evitare di scaricare e installare moduli infetti, gli esperti consigliano di monitorare la presenza di pacchetti sospetti nei propri progetti; verificare eventuali connessioni di rete verso server sconosciuti. È bene inoltre mantenere aggiornati gli strumenti di sicurezza, fra cui sistemi di web filtering capaci di rilevare e bloccare i file e gli URL malevoli segnalati da Fortinet. Ultimo ma non meno importante, qualora venissero rilevati, è mandatorio rimuovere immediatamente i pacchetti malevoli individuati, cambiare le credenziali compromesse e sottoporre il sistema a una scansione approfondita.