Threat Advisories

Attacco alla catena di approvvigionamento nordcoreana "StegaBin" tramite 26 pacchetti npm dannosi

Scritto da Integrity360 | 4-mar-2026 12.24.34

Ricercatori di cybersicurezza hanno scoperto una nuova ondata di attacchi alla catena di approvvigionamento attribuiti ad attori di minaccia allineati allo stato nordcoreano, che prevede la pubblicazione di 26 pacchetti npm dannosi che si spacciano per strumenti legittimi per gli sviluppatori. La campagna, identificata con il nome di "StegaBin", utilizza la steganografia basata su Pastebin per nascondere i punti di comando e controllo (C2) e, in ultima istanza, per distribuire i furti di credenziali e un trojan di accesso remoto (RAT) multipiattaforma. L'infrastruttura che supporta queste operazioni si estende su 31 distribuzioni di Vercel, evidenziando una minaccia sofisticata e in evoluzione per la catena di fornitura del software globale.

Attore della minaccia

  • La campagna è collegata al gruppo di minacce nordcoreane "Famous Chollima".
  • L'operazione è in linea con le tattiche nordcoreane già osservate in precedenza, che prevedono l'infiltrazione nella catena di fornitura e il malware mirato agli sviluppatori.
  • Si maschera come un'utilità legittima per gli sviluppatori
  • Include uno script install.js dannoso che viene eseguito automaticamente al momento dell'installazione.
  • Tipizza i pacchetti reali per apparire affidabile

Dettagli tecnici -

Pacchetti npm dannosi

I ricercatori hanno identificato 26 pacchetti npm, tra cui argonist, bcryptance, bubble-core, expressjs-lint, fastify-lint, mqttoken, sequelization e altri. Ogni pacchetto:

  • si presenta come un'utilità legittima per gli sviluppatori
  • Include uno script install.js dannoso che viene eseguito automaticamente al momento dell'installazione
  • Dattilografa i pacchetti reali per farli apparire affidabili.

Meccanismo di consegna del payload

Il flusso di lavoro dannoso prevede:

  1. Esecuzione in fase di installazione di un payload da vendor/scrypt-js/version.js
  2. Recupero steganografico di URL C2 dai post di Pastebin: saggi dall'aspetto innocuo contenenti caratteri nascosti in posizioni calcolate.
  3. Logica di decodifica che:
    • Rimuove i caratteri Unicode a larghezza zero
    • Legge un marcatore di lunghezza a 5 cifre
    • Estrae i caratteri a intervalli uniformi per ricostruire gli indirizzi C2

Infrastruttura di comando e controllo

  • Infrastruttura C2 ospitata in 31 implementazioni Vercel
  • I post di Pastebin fungono da risolutori di deaddrop, nascondendo le posizioni dei servizi dannosi a valle

Capacità del malware

Il malware distribuito include:

  • Furti di credenziali mirati agli ambienti degli sviluppatori
  • RAT multipiattaforma (Windows/macOS/Linux)
  • Moduli che consentono:
    • Keylogging
    • Estrazione di credenziali
    • Accesso persistente
    • Sfruttamento di strumenti come Visual Studio Code
  • Compromissione delle workstation degli sviluppatori, che consente agli aggressori di accedere a credenziali sensibili, token, chiavi API
  • Propagazione del codice contaminato nelle applicazioni a valle, creando percorsi di infezione secondari
  • Persistenza in più ambienti a causa della natura multipiattaforma del RAT
  • Maggiore difficoltà di rilevamento a causa di:
    • Nomi di pacchetti dall'aspetto legittimo
    • Percorsi di esecuzione del processo di compilazione normali

Impatto -

Questa campagna rappresenta una minaccia significativa per la supplychain del software, in particolare per gli sviluppatori e le organizzazioni che fanno grande affidamento sugli strumenti basati su npm:

Rischi

Indicatori di compromissione

Pacchetti dannosi

L'elenco dei pacchetti npm dannosi è il seguente

argonist@0.41.0

bcryptance@6.5.2

bee-quarl@2.1.2

bubble-core@6.26.2

corstoken@2.14.7

daytonjs@1.11.20

ether-lint@5.9.4

expressjs-lint@5.3.2

fastify-lint@5.8.0

formmiderable@3.5.7

hapi-lint@19.1.2

iosysredis@5.13.2

jslint-config@10.22.2

jsnwebapptoken@8.40.2

kafkajs-lint@2.21.3

loadash-lint@4.17.24

mqttoken@5.40.2

prism-lint@7.4.2

promanage@6.0.21

sequelization@6.40.2

typoriem@0.4.17

undicy-lint@7.23.1

uuindex@13.1.0

vitetest-lint@4.1.21

windowston@3.19.2

zoddle@4.4.2

Indicatori dell'infrastruttura

  • URL Pastebin contenenti marcatori C2 nascosti
  • Applicazioni dannose ospitate da Vercel (31 distribuzioni)
  • Verifica di tutte le dipendenze npm nei progetti per i pacchetti dannosi elencati
  • Rimuovere e mettere in quarantena tutte le istanze dei pacchetti identificati.
  • Ruotare le credenziali utilizzate negli ambienti di sviluppo interessati
  • Eseguire scansioni degli endpoint per:
    • tracce di esecuzione automatica di install.js
    • attività del payload vendor/scrypt-js/version.js
  • Richiedere il monitoraggio delle workstation degli sviluppatori per le connessioni anomale in uscita (ad esempio, verso Pastebin, implementazioni Vercel).

Mitigazioni consigliate

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

 

 

 

 
Visualizza articolo completo