Carneficina delle Credenziali: Il Secondo Avvento di Sha1-Hulud Infetta la Supply Chain di npm
Una nuova ondata, ancora più distruttiva, di attacchi npm sta rubando segreti e cancellando dati in migliaia di progetti open-source.
Fatti Rapidi
- Oltre 25.000 repository GitHub compromessi in pochi giorni tramite pacchetti npm infetti.
- Gli aggressori utilizzano uno script di preinstallazione per rubare credenziali e, se ostacolati, cancellare i file delle vittime.
- Il malware sfrutta GitHub Actions per esfiltrare informazioni sensibili dagli ambienti degli sviluppatori.
- La campagna imita ed esaspera le tattiche dell’attacco Shai-Hulud di settembre 2025.
- I principali vendor di sicurezza avvertono della rapida diffusione auto-replicante e sollecitano misure urgenti di mitigazione.
Un Nuovo Verme delle Sabbie nel Deserto Open-Source
Immagina un verme delle sabbie che si muove inosservato sotto un vasto deserto digitale, emergendo per divorare segreti e, se messo alle strette, lasciando solo terra bruciata. Questa è la realtà inquietante che affrontano gli sviluppatori open-source mentre la campagna Sha1-Hulud scatena la sua seconda, più devastante ondata sull’ecosistema npm.
Individuata per la prima volta da aziende di sicurezza come Wiz, HelixGuard e Koi Security, questa campagna ha infettato oltre 25.000 repository in pochi giorni. Gli aggressori hanno trasformato npm-il gestore di pacchetti essenziale per JavaScript-in un’arma, inserendo codice malevolo in pacchetti comuni. Quando gli sviluppatori li installavano inconsapevolmente, il malware scattava la trappola, rubando silenziosamente credenziali e token cloud. Se non riusciva a ottenere il bottino, si vendicava: cancellava ogni file nella home directory della vittima, una tattica di terra bruciata che ricorda la disperazione dei ransomware classici.
Dal Furto Silenzioso al Sabotaggio Aperto
Non è la prima volta che npm si trova alle prese con attacchi alla supply chain. Nel settembre 2025, la campagna originale “Shai-Hulud” sconvolse il mondo open-source dirottando pacchetti fidati per sottrarre segreti tramite scanner di credenziali come TruffleHog. Quella prima ondata era già grave-rubando informazioni sensibili da sviluppatori e ambienti cloud-ma l’ultima iterazione alza la posta. Ora il malware si attiva durante la fase di “preinstallazione”, un momento in cui gli sviluppatori sono meno sospettosi, e sfrutta le funzionalità di automazione di GitHub per sottrarre segreti e cancellare le proprie tracce.
Le segnalazioni suggeriscono che la nuova variante sia più aggressiva e resiliente. Se il malware non riesce ad accedere ai token GitHub o npm-il suo lasciapassare per l’esfiltrazione-si vendica cancellando i file della vittima, rendendo il recupero quasi impossibile senza backup. Questa svolta punitiva segna il passaggio dal semplice furto al sabotaggio distruttivo, una tattica più tipica della cyberwarfare geopolitica che delle dispute open-source.
Effetto Domino nella Supply Chain
Gli attacchi Sha1-Hulud mettono in luce la fragilità della supply chain del software open-source. I pacchetti npm sono i mattoni di milioni di applicazioni; un solo maintainer compromesso può infettare migliaia di progetti a cascata. Gli aggressori hanno sfruttato questa fiducia prendendo il controllo di account legittimi, caricando pacchetti trappola e lasciando che l’infezione si diffondesse rapidamente-a un certo punto, 1.000 nuovi repository venivano contaminati ogni 30 minuti.
I vendor di sicurezza invitano sviluppatori e organizzazioni a scansionare i pacchetti alla ricerca di codice malevolo, ruotare tutte le credenziali esposte e controllare i workflow per segni di manomissione. L’incidente ha già avviato un dibattito più ampio sulla sicurezza della supply chain del software, riecheggiando crisi passate come la violazione SolarWinds e il caso Log4j, in cui strumenti fidati sono diventati armi inconsapevoli.
WIKICROOK
- npm: npm è una libreria online centrale dove gli sviluppatori condividono, aggiornano e gestiscono pacchetti di codice JavaScript per costruire software in modo efficiente e sicuro.
- Script di Preinstallazione: Uno script di preinstallazione è un codice che viene eseguito automaticamente prima dell’installazione di un pacchetto, spesso per compiti di configurazione, ma può essere sfruttato per scopi malevoli.
- Furto di Credenziali: Il furto di credenziali avviene quando gli hacker rubano nomi utente e password, spesso tramite phishing o violazioni di dati, per accedere illegalmente ad account online.
- GitHub Actions: GitHub Actions automatizza attività come il testing e il deployment del codice su GitHub. Pur aumentando la produttività, può essere sfruttato se non adeguatamente protetto.
- Attacco alla Supply Chain: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware fidati, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.




