Sabato 04 Luglio 2026 22:21:43 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cybercrime

Il typosquatting su npm trasforma le installazioni dei pacchetti in un rischio per i wallet

Pubblicato: 12 Giugno 2026 14:34Categoria: CybercrimeArea: North America / USAAutore: VULNCRUSADER

Pacchetti malevoli simili nell'ecosistema npm possono trasformare le normali installazioni di dipendenze in un evento di esecuzione nella supply chain per i team Web3 e gli operatori di wallet crypto.

Nelle supply chain del software, un singolo carattere può bastare a trasformare la fiducia in un problema. Per gli sviluppatori che lavorano a progetti Web3, un pacchetto npm scritto in modo errato non è solo un fastidio. Può diventare un veicolo di consegna per codice che viene eseguito durante l'installazione, prima che qualcuno abbia avuto la possibilità di esaminare ciò che è arrivato su disco.

Fatti rapidi

  • Il typosquatting è una tecnica nota in cui gli aggressori pubblicano nomi di pacchetti simili per ingannare gli sviluppatori.
  • Gli hook di npm install come preinstall e postinstall possono eseguire codice automaticamente durante l'installazione del pacchetto.
  • I team Web3 sono bersagli particolarmente sensibili perché gli aggressori possono cercare segreti come credenziali del wallet o chiavi private.
  • L'esposizione del wallet può avere conseguenze finanziarie immediate se materiale sensibile viene catturato e usato in seguito per firmare transazioni.
  • I controlli difensivi includono restrizioni sugli script, revisione dei pacchetti e mantenere i segreti del wallet lontani dagli endpoint degli sviluppatori.

Perché la fase di installazione conta

Il problema tecnico non è solo l'esistenza di un pacchetto falso. Il problema più profondo è che l'installazione di un pacchetto può eseguire codice. In npm, script di lifecycle come preinstall e postinstall possono essere eseguiti automaticamente, il che significa che una dipendenza può comportarsi come un piccolo programma invece che come un download passivo. Questo sposta la superficie d'attacco dalla sola revisione del codice al momento stesso dell'installazione.

Da un punto di vista difensivo, il typosquatting funziona perché unisce ingegneria sociale e plumbing del software. Un nome che sembra abbastanza vicino a una libreria legittima può superare una revisione superficiale, soprattutto in team occupati o nelle pipeline di integrazione continua. Se il pacchetto contiene logica malevola, la fase di installazione può essere la prima e unica opportunità per quell'elemento di eseguirsi su una macchina di sviluppo o su un runner di build.

Ecco perché gli ambienti Web3 meritano un'attenzione speciale. Nei sistemi di self-custody, una seed phrase o una chiave privata non sono una password normale. Sono il segreto principale. Se credenziali sensibili vengono esposte, gli aggressori possono essere in grado di accedere ai wallet e agli asset on-chain e, una volta firmata una transazione, in genere non è possibile annullarla. Il rischio non si limita a un singolo progetto. Un percorso di dipendenza compromesso può influire sullo sviluppo locale, sui sistemi di build o su qualsiasi ambiente che installi il pacchetto.

Il mimetismo del brand peggiora il problema. Pacchetti che prendono in prestito un linguaggio familiare di Ethereum o blockchain possono ridurre il sospetto quanto basta per far avvenire un'installazione affrettata. Le informazioni disponibili supportano un'analisi del rischio, non un'affermazione definitiva che tutti i campioni si siano comportati allo stesso modo o che un wallet specifico sia stato svuotato. Tuttavia, lo schema è chiaro: l'abuso in fase di installazione è un modo potente per raggiungere segreti di alto valore senza dover attendere l'avvio dell'applicazione.

Per i difensori, la lezione è pratica. Trattare l'installazione delle dipendenze come un evento di esecuzione. Verificare la provenienza dei pacchetti, ridurre l'esecuzione automatica degli script dove la policy lo consente e mantenere i segreti del wallet su dispositivi hardware o altro storage offline. Anche il monitoraggio di processi figli insoliti, chiamate di rete o accessi ai segreti durante npm install può aiutare a individuare precocemente comportamenti sospetti.

Conclusione

Un errore di battitura nella selezione del pacchetto può bastare a introdurre codice controllato dall'aggressore nel percorso di build, e questo è particolarmente pericoloso quando lo sviluppo software incontra la custodia di asset digitali. In Web3, il più piccolo errore di dipendenza può diventare un evento di sicurezza con conseguenze finanziarie. La lezione più ampia è semplice: la fiducia nella supply chain open source deve essere guadagnata al momento dell'installazione, non presunta a posteriori.

TECHCROOK

Hardware wallet: Un hardware wallet è un modo pratico per tenere le chiavi private su un dispositivo separato invece che su un laptop di sviluppo. Per i team Web3 e gli operatori di wallet, può aiutare a limitare l'esposizione quando gli endpoint vengono usati per il coding, i test o le installazioni di dipendenze. Non è un sostituto della revisione e dei controlli di accesso, ma aggiunge un utile livello offline per l'archiviazione delle chiavi.

Scheda Techcrook: Hardware wallet

WIKICROOK

  • Typosquatting: Registrare un nome di pacchetto simile per ingannare gli utenti e far installare la dipendenza sbagliata.
  • npm: L'ecosistema del gestore e registry di pacchetti JavaScript in cui le dipendenze e gli script di installazione sono comunemente usati.
  • preinstall: Un hook di lifecycle di npm che può eseguire codice prima che un pacchetto finisca di installarsi.
  • postinstall: Un hook di lifecycle di npm che può eseguire codice dopo l'installazione del pacchetto, a volte automaticamente.
  • Seed phrase: Un segreto di recupero che può controllare un wallet crypto se ottenuto da un aggressore.