Autore: Redazione Cyber Monitor
Ultimo aggiornamento: 13 October 2025
Categoria: Threat Monitor – Exploited Vulnerabilities
TLP: GREEN
Recentemente, una sofisticata campagna di phishing, denominata Beamglea, ha sfruttato 175 pacchetti malevoli nel registry npm per raccogliere credenziali in modo illecito. Questa campagna ha preso di mira settori critici, inclusi quelli industriali, tecnologici ed energetici, con i pacchetti compromessi scaricati oltre 26.000 volte. La scoperta sottolinea l'importanza di una vigilanza continua nell'ecosistema open source, in particolare per le piattaforme di gestione dei pacchetti come npm.
I pacchetti malevoli individuati nella campagna Beamglea sono stati progettati per incorporare codice dannoso nel software delle vittime. Una volta installati, questi pacchetti attivano script che raccolgono credenziali sensibili e le trasmettono ai server controllati dagli attaccanti. L'infrastruttura di attacco è stata meticolosamente costruita per evitare il rilevamento, utilizzando tecniche di offuscamento avanzate e domini di comando e controllo distribuiti.
Le organizzazioni che utilizzano npm per la gestione dei pacchetti sono particolarmente a rischio. Gli asset più vulnerabili includono repository di codice, pipeline di integrazione continua e sistemi di gestione delle identità. La compromissione di queste risorse potrebbe portare a gravi violazioni dei dati e perdite finanziarie.
Per mitigare i rischi associati a questa campagna, si consiglia di adottare un approccio Zero Trust, rafforzare le misure di protezione delle identità e implementare politiche di hardening per i sistemi di gestione dei pacchetti. È cruciale eseguire regolari audit di sicurezza e monitoraggio delle attività sospette nei repository di codice. Inoltre, i team di risposta agli incidenti (IR) dovrebbero essere pronti a contenere e neutralizzare eventuali minacce rilevate.
| Tecnica | ID | Descrizione |
|---|---|---|
| Valid Accounts | T1078 | Utilizzo di account validi per accedere ai sistemi. |
| Command and Scripting Interpreter | T1059 | Esecuzione di script per il controllo remoto. |
| Credential Dumping | T1003 | Estrazione di credenziali da sistemi compromessi. |
Nessun IoC pubblico ufficiale al momento.
Nessun PoC pubblico noto al momento.
Questa campagna evidenzia la necessità di un monitoraggio continuo e di una gestione rigorosa delle dipendenze software. I team di sicurezza devono dare priorità alla protezione delle credenziali e alla verifica delle fonti di pacchetti nel loro ambiente di sviluppo.
Tag: npm, phishing, cybersecurity, open source, credential theft
Meta description: Una campagna di phishing ha sfruttato 175 pacchetti npm malevoli per raccogliere credenziali, colpendo settori chiave e scaricati 26.000 volte. Scopri come proteggere la tua organizzazione da queste minacce.