Punti Chiave
- Codice dannoso iniettato nei pacchetti @ensdomains tra il 21 e il 23 novembre ha preso di mira le credenziali degli sviluppatori su GitHub, npm e servizi cloud.
- L'attacco si è diffuso tramite account di manutentori compromessi, eseguendosi automaticamente durante i comandi di installazione standard.
- I pacchetti colpiti includono gate-evm-check-code2, create-hardhat3-app, ethereum-ens e oltre 40 librerie nell'ambito @ensdomains.
Ethereum Name Service ENS $11.61 volatilità 24h: 4.0% Capitalizzazione di mercato: $439.48 M Vol. 24h: $72.23 M pacchetti software sono stati compromessi in un attacco informatico alla supply chain che ha interessato oltre 400 librerie di codice su npm, una piattaforma dove gli sviluppatori condividono e scaricano strumenti software. ENS Labs ha dichiarato che gli asset degli utenti e i nomi di dominio sembrano non essere stati colpiti.
Il team ha rilevato che i pacchetti che iniziano con @ensdomains sono stati colpiti intorno alle 5:49 a.m. UTC del 24 novembre e da allora ha aggiornato le versioni dei pacchetti e modificato le credenziali di sicurezza, secondo ENS Labs. I siti web gestiti da ENS, inclusi app.ens.domains, non hanno mostrato segni di impatto.
Abbiamo identificato che alcuni pacchetti npm che iniziano con @ensdomains pubblicati intorno alle 5:49am UTC di oggi potrebbero essere stati colpiti da un attacco alla supply chain Sha1-Hulud che ha compromesso oltre 400 librerie NPM, inclusi diversi pacchetti ENS.
Il team ha aggiornato tutti i tag più recenti e sta…
— ens.eth (@ensdomains) 24 novembre 2025
L'attacco ha compromesso anche pacchetti di Zapier, PostHog, Postman e AsyncAPI, secondo Aikido Security, che ha rilevato per prima la campagna il 24 novembre.
Pacchetti Crypto tra le Vittime
Diverse librerie di sviluppo blockchain sono state coinvolte nell'ampio attacco. I pacchetti colpiti includono gate-evm-check-code2 ed evm-checkcode-cli utilizzati per la verifica del bytecode degli smart contract, create-hardhat3-app per la creazione di progetti Ethereum ETH $2 964 volatilità 24h: 4.8% Capitalizzazione di mercato: $357.84 B Vol. 24h: $32.76 B, e coinmarketcap-api per l'integrazione dei dati sui prezzi.
Altre librerie crypto colpite includono ethereum-ens e crypto-addr-codec, che gestisce la codifica degli indirizzi di criptovalute. Oltre 40 pacchetti nell'ambito @ensdomains sono stati compromessi.
L'incidente richiama alla mente una backdoor scoperta nei pacchetti XRP Ledger ad aprile, dove codice dannoso era stato iniettato in xrpl.js per rubare chiavi private.
Come Funziona l'Attacco
Pacchetti dannosi sono stati caricati su npm tra il 21 e il 23 novembre. Il malware si propaga compromettendo gli account dei manutentori e iniettando codice nei loro pacchetti. Si esegue automaticamente quando gli sviluppatori eseguono i comandi di installazione standard.
Il malware raccoglie password degli sviluppatori e token di accesso da GitHub, npm e dai principali servizi cloud. Pubblica i dati rubati su repository GitHub pubblici e crea punti di accesso nascosti sulle macchine infette per attacchi futuri.
Una ricerca su GitHub mostra che ora 26.300 repository contengono credenziali rubate, distribuite su circa 350 account compromessi. Il numero continua a crescere mentre l'attacco rimane attivo.
I ricercatori di Koi Security hanno scoperto una minaccia aggiuntiva. Se il malware non riesce a rubare credenziali o inviare dati all'esterno, cancella tutti i file nella directory home dell'utente.
Risposta degli Sviluppatori
ENS Labs ha dichiarato che gli sviluppatori che non hanno installato pacchetti ENS entro 11 ore dal rilevamento delle 5:49 a.m. UTC probabilmente non sono stati colpiti. Chi ha installato durante quella finestra dovrebbe eliminare le cartelle node_modules, svuotare la cache npm e cambiare tutte le credenziali.
L'incidente segue una serie di violazioni della sicurezza crypto che hanno messo alla prova i progetti infrastrutturali quest'anno. GitHub sta attivamente rimuovendo i repository creati dagli aggressori, anche se ne continuano ad apparire di nuovi.
next
