Typosquatting, un pacchetto NPM distribuisce il rootkit r77

I ricercatori di ReversingLabs hanno scoperto una nuova campagna di typosquatting che sfrutta la piattaforma NPM.

NPM, abbreviazione di Node Package Manager, è il gestore di pacchetti ufficiale che viene installato con la piattaforma Node.js. Si tratta di un’interfaccia a riga di comando che aiuta nell’installazione dei pacchetti Node.

Typosquatting

Nella fattispecie il pacchetto dannoso “node-hide-console-windows” viene spacciato per quello legittimo “node-hide-console-window”. Come evidente, gli aggressori hanno aggiunto una “s” nel nome del pacchetto, il typosquatting è infatti un metodo ingannevole con cui i criminali informatici creano nomi di dominio utilizzando la nomenclatura del dominio originale ma con piccoli errori di ortografia.

Il pacchetto NPM dannoso

ReversingLabs ha rivelato che quando un utente installa questo pacchetto dannoso, viene scaricato DiscordRAT 2.0 (uno strumento open source di amministrazione remota Discord promosso a scopo di formazione) che rilascia il rootkit r77 per ottenere il controllo completo del dispositivo della vittima.

Campagne in aumento

I ricercatori hanno notato un aumento delle campagne che sfruttano la piattaforma di registrazione dei pacchetti NPM. Ma la parte preoccupante è che questa campagna iniziata alla fine di agosto 2023 ha portato a scaricare il pacchetto (sono state scoperte 10 versioni) per più di 700 volte. Pertanto per proteggersi dagli attacchi di typosquatting è essenziale controllare gli indirizzi durante la digitazione o la ricerca di indirizzi web in modo da visitare i siti corretti.

Vale la pena notare la necessità di proteggere i progetti open source poiché i criminali informatici, come in questo cado, preferiscono sfruttarli per distribuire malware.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.