Radar Truffe

Come riconoscere Campagna typosquat su npm — oltre 287 pacchetti che impersonano Puppeteer/bignum.js (ott 2024)?

Pubblicato il

In breve

Gli attaccanti pubblicano pacchetti npm con typosquatting (puppeter, bignum js, haski per husky, ecc.) che integrano downloader multi stadio che recuperano il payload tramite C2 basato su smart contract Ethereum (decentralizzato,...

Come funziona

Gli attaccanti pubblicano pacchetti npm con typosquatting (puppeter, bignum js, haski per husky, ecc.) che integrano downloader multi stadio che recuperano il payload tramite C2 basato su smart contract Ethereum (decentralizzato,...

Indicatori rossi

  • il nome del pacchetto differisce di un carattere da una libreria popolare
  • installato tramite errore di copia incolla negli script CI
  • l'hook postinstall recupera un binario da un dominio sospetto
  • le parole chiave/descrizione in package.json imitano il bersaglio
  • l'autore non ha altri pacchetti pubblicati. AZIONI: abilitare le firme di npm audit + installazioni solo da lockfile; utilizzare Socket/Snyk/Phylum nella CI; fissare le versioni esatte; esaminare gli script postinstall

Cosa fare

  1. 1Indicatori: 1) il nome del pacchetto differisce di un carattere da una libreria popolare; 2) installato tramite errore di copia incolla negli script CI; 3) l'hook postinstall recupera un binario da un dominio sospetto; 4) le parole chiave/descrizione in package.json imitano il bersaglio; 5) l'autore non ha altri pacchetti pubblicati.

Fonte

Socket-Security

Fonte verificata da Mythos Forensic Team

https://socket.dev/blog/typosquat-attack-targets-developers

FAQ

Campagna typosquat su npm — oltre 287 pacchetti che impersonano Puppeteer/bignum.js (ott 2024) e una truffa reale?

Si. Tratta messaggi, chiamate o richieste di pagamento come sospette finche non le verifichi da un canale ufficiale.

Quali sono i primi segnali?

il nome del pacchetto differisce di un carattere da una libreria popolare; installato tramite errore di copia incolla negli script CI; l'hook postinstall recupera un binario da un dominio sospetto

Cosa devo fare subito?

Indicatori: 1) il nome del pacchetto differisce di un carattere da una libreria popolare; 2) installato tramite errore di copia incolla negli script CI; 3) l'hook postinstall recupera un binario da un dominio sospetto; 4) le parole chiave/descrizione in package.json imitano il bersaglio; 5) l'autore non ha altri pacchetti pubblicati.

LegalAudit puo controllare il mio caso?

Si. Apri la chat gratis e incolla messaggio, link, mittente o dati di pagamento per un triage.