I ricercatori della sicurezza informatica hanno segnalato Un attacco di catena di approvvigionamento che mira a oltre una dozzina di pacchetti associati a GlueStack per fornire malware.
Il malware, introdotto tramite una modifica a “Lib/Commonjs/Index.js”, consente a un utente malintenzionato di eseguire comandi con shell, prendere screenshot e caricare file su macchine infette, ha detto alla sicurezza di Aikido a The Hacker Information, affermando questi pacchetti in conto collettiva per quasi 1 milione di obtain settimanali.
L’accesso non autorizzato potrebbe quindi essere utilizzato per eseguire varie azioni di follow-on come il mining di criptovaluta, il furto di informazioni sensibili e persino la chiusura dei servizi. Aikido ha detto che il primo compromesso del pacchetto è stato rilevato il 6 giugno 2025, alle 21:33 GMT.
L’elenco dei pacchetti colpiti e le versioni interessate è di seguito –
- @GlueStack-Ui/Utils versione 0.1.16 (101 obtain)
- @GlueStack-Ui/Utils versione 0.1.17 (176 obtain)
- @react-native-aria/pulsante versione 0.2.11 (174 obtain)
- @react-native-aria/casella di controllo versione 0.2.11 (obtain 577)
- @react-native-aria/combobox versione 0.2.8 (167 obtain)
- @react-native-aria/divulgazione versione 0.2.9 (n/a)
- @react-native-aria/focus versione 0.2.10 (951 obtain)
- @react-native-aria/interazioni versione 0.2.17 (420 obtain)
- @react-native-aria/listbox versione 0.2.10 (171 obtain)
- @react-native-aria/menu Versione 0.2.16 (54 obtain)
- @react-native-aria/overlay versione 0.3.16 (obtain 751)
- @react-native-aria/radio versione 0.2.14 (obtain 570)
- @react-native-aria/slider versione 0.2.13 (264 obtain)
- @react-native-aria/change versione 0.2.5 (56 obtain)
- @react-native-aria/tabs versione 0.2.14 (170 obtain)
- @React-Native-Aria/Toggle Versione 0.2.12 (obtain 589)
- @react-native-aria/utils versione 0.2.13 (341 obtain)
Inoltre, il codice dannoso iniettato nei pacchetti è simile al Trojan di accesso remoto che è stato consegnato a seguito del compromesso di un altro pacchetto NPM “Rand-Consumer-Agent” il mese scorso, indicando che gli stessi attori delle minacce potrebbero essere dietro l’attività.
Trojan è una versione aggiornata che supporta due nuovi comandi per raccogliere informazioni sul sistema (“SS_INFO”) e l’indirizzo IP pubblico dell’host (“SS_IP”).
I manutentori del progetto hanno da allora Revocato il token di accesso e segnato le versioni colpite come deprecate. Gli utenti che potrebbero aver scaricato le versioni dannose si consigliano di tornare a una versione sicura per mitigare eventuali minacce.
“Il potenziale impatto è di scala enorme e il meccanismo di persistenza del malware è particolarmente preoccupante: gli aggressori mantengono l’accesso alle macchine infette anche dopo che i manutentori hanno aggiornato i pacchetti”, ha affermato la società in una nota.
Pacchetti dannosi trovati su NPM Unleash Distruttivi Caratteristiche
Lo sviluppo arriva quando Socket ha scoperto due pacchetti NPM canaglia-Categorical-API-Sync e System-Well being-Sync-API-che si mascherano come servizi pubblici legittimi ma tergicristalli che possono eliminare intere listing di applicazioni.
Pubblicato dall’account “Botsailer” (e -mail: anupm019@gmail (.) Com), i pacchetti sono stati scaricati rispettivamente 112 e 861 volte prima di essere rimossi.
Il primo dei due pacchetti, Categorical-API-Sync, afferma di essere un’API espressa per sincronizzare i dati tra due database. Tuttavia, una volta installato e aggiunto da uno sviluppatore ignaro alla loro applicazione, innesca l’esecuzione di codice dannoso dopo aver ricevuto una richiesta HTTP con una chiave codificata “Default_123”.
Al ricevimento della chiave, esegue il comando UNIX “rm -rf *” per eliminare ricorsivamente tutti i file dalla listing corrente e inferiore, inclusi codice sorgente, file di configurazione, risorse e database locali.
L’altro pacchetto è molto più sofisticato, agendo sia come furto di informazioni che come tergicristallo, modificando anche i suoi comandi di eliminazione in base al fatto che il sistema operativo sia Home windows (“RD /S /Q.”) O Linux (“RM -rf *”).
“Dove Categorical-Api-Sync è uno strumento schietto, il sistema-sanità-sincronizzazione-API è un coltello dell’esercito svizzero di distruzione con un incontro di intelligence incorporato”, il ricercatore della sicurezza Kush Pandya disse.
Un aspetto notevole del pacchetto NPM è che utilizza l’e-mail come canale di comunicazione segreta, che si collega alla cassetta postale controllata dagli attaccanti tramite credenziali SMTP con codice duro. La password viene offuscata utilizzando Base64-codifica, mentre il nome utente indica un indirizzo e-mail con un dominio associato a un’agenzia immobiliare con sede in India (“Auth@Corehomes (.) In”).
“Ogni evento significativo innesca un’e -mail a anupm019@gmail (.) Com”, ha detto Socket. “L’e -mail embody l’URL di backend completo, che potenzialmente espongono dettagli di infrastrutture interne, ambienti di sviluppo o server di stadiazione che non dovrebbero essere noti pubblicamente.”
L’uso di SMTP per l’esfiltrazione di dati è subdolo poiché la maggior parte dei firewall non blocca il traffico e -mail in uscita e consente al traffico dannoso di fondersi con legittime e -mail di applicazione.
Inoltre, il pacchetto rimonde gli endpoint su “/_/sistema/salute” e “/_/sys/manutenzione” per scatenare i comandi di distruzione specifici della piattaforma, con quest’ultimo che agisce come meccanismo di fallback nel caso in cui il backdoor principale venga rilevato e bloccato.
“Gli aggressori prima verificano il backdoor tramite Get/_/System/Well being che restituisce il nome host e lo stato del server”, ha spiegato Pandya. “Possono testare con la modalità run a secco se configurati, quindi eseguire la distruzione utilizzando Submit/_/System/Well being o l’endpoint di backup Submit/_/sys/manutenzione con la chiave” Helloworld “.
La scoperta dei due nuovi pacchetti NPM mostra che gli attori delle minacce stanno iniziando a espandersi oltre l’uso di librerie fasulle per informazioni e furto di criptovaluta per concentrarsi sul sabotaggio del sistema, una sorta di sviluppo insolito in quanto non offrono benefici finanziari.
Il pacchetto PYPI si presenta come strumento di crescita di Instagram per raccogliere le credenziali
Arriva inoltre quando la società di sicurezza della catena di approvvigionamento del software program ha scoperto un nuovo mietitore di credenziali basato su Python IMAD213 sul repository Python Bundle Index (PYPI) che afferma di essere uno strumento di crescita di Instagram. Secondo le statistiche pubblicate su Pepy.tech, il pacchetto è stato scaricato 3.242 volte.
“Il malware utilizza Base64-codifica per nascondere la sua vera natura e implementa un change di uccisione remoto attraverso un file di controllo ospitato da NetLify”, Pandya disse. “Quando viene eseguito, richiede agli utenti le credenziali di Instagram e le trasmette a dieci diversi servizi di bot di terze parti fingendo di aumentare i conteggi dei follower.”
La libreria Python è stata caricata da un utente chiamato IM_AD__213 (AKA IMAD-213), che si è unito al registro il 21 marzo 2025, e ha caricato altri tre pacchetti che possono raccogliere le credenziali di Fb, Gmail, Twitter e VK (Taya, A-B27) o sfruttare le piattaforme di Apache per goal a piattaforme di streaming e API con DDOS distribuito (DDOS) (POPPO213).
L’elenco dei pacchetti, che sono ancora disponibili per il obtain da PYPI, è sotto –
- IMAD213 (3.242 obtain)
- Taya (930 obtain)
- A-B27 (996 obtain)
- POPPO213 (3.165 obtain)
In un documento GitHub Readme.md pubblicato da IMAD-213 circa due giorni prima che “IMAD213” fosse caricato su PyPI, l’attore delle minacce affermazioni Che la biblioteca sia principalmente per “scopi educativi e di ricerca” e rileva che non sono responsabili per qualsiasi uso improprio.
La descrizione di GitHub embody anche un “consiglio di sicurezza ingannevole”, che esorta gli utenti a utilizzare un account Instagram falso o temporaneo per evitare di affrontare qualsiasi problema con il proprio account principale.
“Questo crea una falsa sicurezza, gli utenti pensano di essere cauti pur consegnando credenziali valide all’attaccante”, ha detto Pandya.
Una volta avviato, il malware si collega a un server esterno e legge un file di testo (“move.txt”) e procede ulteriormente con l’esecuzione solo se il contenuto del file corrisponde alla stringa “iMad213”. Lo change Kill può servire a più scopi, consentendo all’attore minaccia di determinare chi ha accesso per eseguire la libreria o disattivare ogni copia scaricata semplicemente modificando il contesto del file di controllo.
Nel passaggio successivo, la libreria spinge l’utente a inserire le credenziali di Instagram, che vengono quindi salvate localmente in un file denominato “Credentials.txt” e trasmette a dieci diversi siti Net di servizi bot dubbie, alcuni dei quali si collegano a una rete di strumenti di crescita di Instagram turchi probabilmente operavano dalla stessa entità. I domini sono stati registrati nel giugno 2021.
“L’emergere di questo mietitore di credenziali rivela le tendenze del malware mirato ai social media”, ha detto Socket. “Con dieci diversi servizi di bot che ricevono credenziali, stiamo assistendo alle prime fasi del riciclaggio di credenziali – in cui gli accessi rubati sono distribuiti su più servizi per oscurare la loro origine”.
