Operazioni di phishing continue rivolte agli sviluppatori e all’ecosistema NPM
3 ottobre 2025
Di Samantha Clarke, Hiwot Mendahun e il team di ricerca sulle minacce di Mimecast
- Due importanti campagne incentrate su npm sono state individuate nell’ambito di un panorama di minacce più ampio: quella di luglio relativa alla manutenzione degli account "" e quella di settembre relativa all’aggiornamento di sicurezza dell’autenticazione a due fattori (2FA) ""
- Queste campagne npm rappresentano un’escalation nell’attacco alle infrastrutture di sviluppo critiche tramite l’open source
- 14 settembre 2025: "Shai-Hulud" diffusione di un worm autoreplicante collegata al furto di credenziali
- Il worm si è infiltrato in oltre 180 pacchetti npm tramite replica autonoma, dimostrando un’evoluzione dal furto di credenziali al malware della catena di approvvigionamento
Panoramica della campagna
Il team Mimecast Threat Research sta monitorando attivamente, sin dal luglio 2025, una campagna di attacchi in più fasi rivolta all’ecosistema npm. La nostra ricerca evidenzia un’evoluzione dagli attacchi di phishing finalizzati al furto di credenziali alla compromissione della catena di approvvigionamento "Shai-Hulud", avvenuta il 14 settembre 2025. Grazie al monitoraggio continuo delle minacce, abbiamo individuato due importanti campagne di phishing che hanno preceduto direttamente la compromissione su larga scala di pacchetti npm.
Cronologia della campagna monitorata da Mimecast
Luglio 2025 - Campagna di manutenzione degli account La prima attività di phishing mirata a npm individuata ha avuto luogo nel luglio 2025, utilizzando esche di ingegneria sociale del tipo “ "” e “" ” relative alla manutenzione degli account. Tali campagne indirizzavano gli sviluppatori verso domini oggetto di typosquatting che imitavano l'infrastruttura legittima di npm, prendendo di mira i responsabili della manutenzione dei pacchetti con notifiche urgenti relative alla gestione degli account.
- Esca utilizzata: Requisiti di gestione e verifica dell'account
- Metodo di diffusione: e-mail di phishing che si spacciano per comunicazioni ufficiali di npm
- Obiettivo: Acquisizione di credenziali mirata agli account dei manutentori di alto valore
- Infrastruttura: domini oggetto di typosquatting , tra cui npnjs.com
Campagna di aggiornamento di sicurezza: all’inizio di settembre si è osservata un’intensificazione delle attività, con una campagna più sofisticata che sfruttava esche basate sull’aggiornamento di sicurezza relativo all’autenticazione a due fattori (2FA) di "" . Questa campagna ha messo in luce tecniche di elusione avanzate e messaggi mirati, progettati specificatamente per sfruttare la vulnerabilità degli sviluppatori particolarmente attenti alla sicurezza.
- Esca utilizzata: aggiornamenti obbligatori relativi all’autenticazione a due fattori (2FA) e requisiti di conformità in materia di sicurezza
- Metodo di diffusione: e-mail di phishing che si spacciano per comunicazioni ufficiali di npm
- Obiettivo: Raccolta di credenziali su larga scala prima dell’implementazione nella catena di fornitura
14 settembre 2025 - Diffusione di Shai-Hulud Il culmine di queste operazioni di raccolta delle credenziali ha portato alla diffusione del worm autoreplicante Shai-Hulud", sviluppato da ". Avvalendosi di account compromessi nel corso di precedenti campagne di phishing, gli autori delle minacce hanno diffuso malware autonomo che si è propagato nell’ecosistema npm senza alcun ulteriore intervento umano.
- Vettore di attacco: account dei responsabili della manutenzione compromessi a seguito di precedenti campagne di phishing
- Carico utile: worm autoreplicante che utilizza script dannosi post-installazione (bundle.js)
- Ambito: inizialmente 18 pacchetti mirati, con un’espansione a oltre 180 tramite replica autonoma
- Funzionalità: Furto di credenziali su più vettori (token npm, credenziali GitHub, segreti delle piattaforme cloud)
Protezione Mimecast
Le funzionalità avanzate di rilevamento delle minacce di Mimecast hanno individuato e bloccato con successo tali campagne grazie a diversi livelli di protezione.
Obiettivi
Area geografica e settore: target globale con effetti concentrati sulle organizzazioni tecnologiche che dipendono fortemente dai pacchetti npm, tra cui le aziende operanti nei settori del fintech, della tecnologia sanitaria e dello sviluppo di software aziendale.
Il target principale è costituito dai professionisti dello sviluppo software su più piattaforme, tra i quali i manutentori di npm rappresentano obiettivi di grande valore grazie al loro accesso alla catena di approvvigionamento. Il target secondario comprende ingegneri DevOps, professionisti della sicurezza e team di sviluppo aziendali che gestiscono le dipendenze delle infrastrutture critiche.
Indicatori di compromissione (IOC)
Infrastruttura specifica per NPM
- npnjs.com (dominio principale oggetto di typosquatting)
- npm-security.com (infrastruttura secondaria di phishing)
- npmjs.help (pagina dedicata al furto di credenziali)
- npmjs-security.org (pagina dedicata al furto di credenziali)
Raccomandazioni
Azioni immediate:
- Informare gli utenti sulle minacce presenti su npm, OAuth, piattaforme SaaS e infrastrutture di sviluppo, comprese tattiche specifiche quali la gestione degli account, gli aggiornamenti di sicurezza e l’usurpazione dell’identità delle piattaforme
- Definire protocolli per la verifica indipendente delle comunicazioni critiche su tutte le piattaforme di sviluppo
Ricerca delle minacce:
- Effettuare una ricerca nei registri delle ricevute e-mail e nei registri degli URL per individuare gli indicatori tecnici associati a tali campagne
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!