I ricercatori di ReversingLabs hanno scoperto una nuova campagna di typosquatting che sfrutta la piattaforma NPM.
NPM, abbreviazione di Node Package Manager, è il gestore di pacchetti ufficiale che viene installato con la piattaforma Node.js. Si tratta di un’interfaccia a riga di comando che aiuta nell’installazione dei pacchetti Node.
Typosquatting
Nella fattispecie il pacchetto dannoso “node-hide-console-windows” viene spacciato per quello legittimo “node-hide-console-window”. Come evidente, gli aggressori hanno aggiunto una “s” nel nome del pacchetto, il typosquatting è infatti un metodo ingannevole con cui i criminali informatici creano nomi di dominio utilizzando la nomenclatura del dominio originale ma con piccoli errori di ortografia.
Il pacchetto NPM dannoso
ReversingLabs ha rivelato che quando un utente installa questo pacchetto dannoso, viene scaricato DiscordRAT 2.0 (uno strumento open source di amministrazione remota Discord promosso a scopo di formazione) che rilascia il rootkit r77 per ottenere il controllo completo del dispositivo della vittima.
Campagne in aumento
I ricercatori hanno notato un aumento delle campagne che sfruttano la piattaforma di registrazione dei pacchetti NPM. Ma la parte preoccupante è che questa campagna iniziata alla fine di agosto 2023 ha portato a scaricare il pacchetto (sono state scoperte 10 versioni) per più di 700 volte. Pertanto per proteggersi dagli attacchi di typosquatting è essenziale controllare gli indirizzi durante la digitazione o la ricerca di indirizzi web in modo da visitare i siti corretti.
Vale la pena notare la necessità di proteggere i progetti open source poiché i criminali informatici, come in questo cado, preferiscono sfruttarli per distribuire malware.