Pacchetto JavaScript compromesso per rubare credenziali npm

Un hacker è riuscito ad accedere all’account npm di uno sviluppatore (npm è un package manager per Javascript) nella notte fra l’11 e il 12 di Luglio, inserendo un token malevolo che gli ha consentito di rilasciare un aggiornamento della libreria eslint-scope nonché eslint-config-eslint. La libreria eslint-scope (la cui versione malevola nel frattempo è stata rimossa) è usata come dipendenza da molti pacchetti noti. Il codice conteneva istruzioni per rubare le password npm, e considerando il tempo che è rimasta attiva potrebbe aver sottratto potenzialmente 4.500 credenziali di altrettanti utilizzatori.

Se a una prima occhiata il furto potrebbe sembrare limitato, in realtà la situazione è complicata dal fatto che ora ognuna di queste credenziali potenzialmente sottratte potrebbe essere usata esattamente allo stesso modo, ovvero collegandosi al npm e compromettendo altre librerie Javascript, usate da pacchetti e pagine web ovunque.

Maggiori informazioni sul blog di Eslint e Bleepingcomputer.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.