Alert GCSA-25104 - Compromissione supply chain di pacchetti delle librerie NPM
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
*********************************************************************
Alert ID: GCSA-25104
Data: 10 settembre 2024
Titolo: Compromissione supply chain di pacchetti delle librerie NPM
*********************************************************************
:: Descrizione del problema
E' stata rilevata la compromissione di numerosi pacchetti di librerie NPM,
di node.js, che sono largamente utilizzati in applicazioni JavaScript,
causando la compromissione di tutto il software che utilizza le librerie
vulnerabili (attacco alla supply chain)
I criminali sono riusciti a raggiungere e compromettere con una mail di phishing
il mantainer del repository GitHub delle librerie NPM, hanno avuto accesso
al repository, e hanno modificato i sorgenti delle librerie iniettando codice malevolo.
Il codice viene eseguito lato browser dal client che si connette all'applicazione web compromessa.
Successivamente, sempre tramite phishing, e' stato compromesso anche un altro mantainer.
Il malware installato intercetta le transazioni in criptovalute dell'utente
e redirige i fondi verso conti controllati dall'attaccante.
I pacchetti compromessi sono stati eliminati nel giro di due ore, ma nel frattempo
erano gia' stati scaricati.
:: Software interessato
I seguenti pacchetti NPM sono stati compromessi nelle versioni indicate:
ansi-regex@6.2.1
ansi-styles@6.2.2
backslash@0.2.1
chalk@5.6.1
chalk-template@1.1.1
color-convert@3.1.1
color-name@2.0.1
color-string@2.1.1
debug@4.4.2
error-ex@1.3.3
has-ansi@6.0.1
is-arrayish@0.3.3
proto-tinker-wc@1.8.7
supports-hyperlinks@4.1.1
simple-swizzle@0.2.3
slice-ansi@7.1.1
strip-ansi@7.1.1
supports-color@10.2.1
supports-hyperlinks@4.1.1
wrap-ansi@9.0.1
@coveops/abi@2.0.1
@duckdb/duckdb-wasm@1.29.2
@duckdb/node-api@1.3.3
@duckdb/node-bindings@1.3.3
duckdb@1.3.3
prebid@10.9.1
prebid@10.9.2
prebid-universal-creative@1.17.3
I pacchetti sono utilizzati in molte applicazioni web, anche autoprodotte
Le versioni compromesse erano online, quindi scaricabili, dale 15:16 alle
17:20 CEST del 8/9/2025
:: Impatto
Accesso non autorizzato a wallet digitali, manomissione e trasferimenti di fondi
Al momento si hanno notizie di prelevamenti di fondi, ma di entita' scarsa.
:: Soluzioni
Al momento l'unica soluzione e' eseguire il downgrade dei pacchetti
Possono essere eseguite delle azioni di mitigazione:
- - Controllare le versioni dei pacchetti installate
Per Microsoft Sentinel c'e' una query gia' pronta a questo indirizzo,
e puo' essere utilizzata per capire chi si sia collegato per scaricare i pacchetti incriminati:
https://github.com/Cyb3r-Monk/Threat-Hunting-and-Detection/blob/main/Uncategorized/NPM%20debug%20and%20chalk%20compromise%2009-2025.md
- - Pulire la cache di npm
comando npm --cache clean --force
- - Reinstallare tutte le dipendenze:
eliminare node_modules e reinstallare i pacchetti da zero
- - Usare un packege lock
Bloccare le versioni delle dipendenze per evitare aggiornamenti automatici
- - Indicazione della versione
specificare puntualmente la versione dei pacchetti da utilizzare, per evitare aggiornamenti
- - Audit delle dipendenze per individuare i pacchetti vulnerabili
npm audit, yarn audit, semgrep
- - Protezione degli account, con 2FA, monitoraggio login sospetti
:: Riferimenti
Bleeping Computer
https://www.bleepingcomputer.com/news/security/hackers-hijack-npm-packages-with-2-billion-weekly-downloads-in-supply-chain-attack/
The Hacker News
https://thehackernews.com/2025/09/20-popular-npm-packages-with-2-billion.html
aikido
https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
CSIRT Italia
https://www.acn.gov.it/portale/w/supply-chain-attack-rilevata-compromissione-di-pacchetti-npm
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaMFOjwAKCRDBnEyTZRJg
Qo9mAJ4v/wLrsbCggpF0InFJ9GWAefh/dACgj5xoIeUbfaJpaD9OYmWra/0QaOE=
=cLbl
-----END PGP SIGNATURE-----
Hash: SHA256
*********************************************************************
Alert ID: GCSA-25104
Data: 10 settembre 2024
Titolo: Compromissione supply chain di pacchetti delle librerie NPM
*********************************************************************
:: Descrizione del problema
E' stata rilevata la compromissione di numerosi pacchetti di librerie NPM,
di node.js, che sono largamente utilizzati in applicazioni JavaScript,
causando la compromissione di tutto il software che utilizza le librerie
vulnerabili (attacco alla supply chain)
I criminali sono riusciti a raggiungere e compromettere con una mail di phishing
il mantainer del repository GitHub delle librerie NPM, hanno avuto accesso
al repository, e hanno modificato i sorgenti delle librerie iniettando codice malevolo.
Il codice viene eseguito lato browser dal client che si connette all'applicazione web compromessa.
Successivamente, sempre tramite phishing, e' stato compromesso anche un altro mantainer.
Il malware installato intercetta le transazioni in criptovalute dell'utente
e redirige i fondi verso conti controllati dall'attaccante.
I pacchetti compromessi sono stati eliminati nel giro di due ore, ma nel frattempo
erano gia' stati scaricati.
:: Software interessato
I seguenti pacchetti NPM sono stati compromessi nelle versioni indicate:
ansi-regex@6.2.1
ansi-styles@6.2.2
backslash@0.2.1
chalk@5.6.1
chalk-template@1.1.1
color-convert@3.1.1
color-name@2.0.1
color-string@2.1.1
debug@4.4.2
error-ex@1.3.3
has-ansi@6.0.1
is-arrayish@0.3.3
proto-tinker-wc@1.8.7
supports-hyperlinks@4.1.1
simple-swizzle@0.2.3
slice-ansi@7.1.1
strip-ansi@7.1.1
supports-color@10.2.1
supports-hyperlinks@4.1.1
wrap-ansi@9.0.1
@coveops/abi@2.0.1
@duckdb/duckdb-wasm@1.29.2
@duckdb/node-api@1.3.3
@duckdb/node-bindings@1.3.3
duckdb@1.3.3
prebid@10.9.1
prebid@10.9.2
prebid-universal-creative@1.17.3
I pacchetti sono utilizzati in molte applicazioni web, anche autoprodotte
Le versioni compromesse erano online, quindi scaricabili, dale 15:16 alle
17:20 CEST del 8/9/2025
:: Impatto
Accesso non autorizzato a wallet digitali, manomissione e trasferimenti di fondi
Al momento si hanno notizie di prelevamenti di fondi, ma di entita' scarsa.
:: Soluzioni
Al momento l'unica soluzione e' eseguire il downgrade dei pacchetti
Possono essere eseguite delle azioni di mitigazione:
- - Controllare le versioni dei pacchetti installate
Per Microsoft Sentinel c'e' una query gia' pronta a questo indirizzo,
e puo' essere utilizzata per capire chi si sia collegato per scaricare i pacchetti incriminati:
https://github.com/Cyb3r-Monk/Threat-Hunting-and-Detection/blob/main/Uncategorized/NPM%20debug%20and%20chalk%20compromise%2009-2025.md
- - Pulire la cache di npm
comando npm --cache clean --force
- - Reinstallare tutte le dipendenze:
eliminare node_modules e reinstallare i pacchetti da zero
- - Usare un packege lock
Bloccare le versioni delle dipendenze per evitare aggiornamenti automatici
- - Indicazione della versione
specificare puntualmente la versione dei pacchetti da utilizzare, per evitare aggiornamenti
- - Audit delle dipendenze per individuare i pacchetti vulnerabili
npm audit, yarn audit, semgrep
- - Protezione degli account, con 2FA, monitoraggio login sospetti
:: Riferimenti
Bleeping Computer
https://www.bleepingcomputer.com/news/security/hackers-hijack-npm-packages-with-2-billion-weekly-downloads-in-supply-chain-attack/
The Hacker News
https://thehackernews.com/2025/09/20-popular-npm-packages-with-2-billion.html
aikido
https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
CSIRT Italia
https://www.acn.gov.it/portale/w/supply-chain-attack-rilevata-compromissione-di-pacchetti-npm
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaMFOjwAKCRDBnEyTZRJg
Qo9mAJ4v/wLrsbCggpF0InFJ9GWAefh/dACgj5xoIeUbfaJpaD9OYmWra/0QaOE=
=cLbl
-----END PGP SIGNATURE-----