Supply chain attack npm: malware colpisce Claude Code e VS Code

Supply chain attack npm: malware colpisce Claude Code e VS Code

Il 29 aprile 2026, tra le 09:55 UTC e le 12:14 UTC, una nuova campagna malware ha compromesso pacchetti npm dell'ecosistema SAP introducendo una delle tecniche di persistenza più innovative mai osservate negli attacchi supply chain. La campagna, denominata "mini Shai-Hulud", rappresenta uno dei primi casi documentati in cui le configurazioni degli AI coding agent vengono sfruttate come vettore di propagazione e persistenza.

Il meccanismo dell'attacco mini Shai-Hulud

I ricercatori di StepSecurity hanno identificato pacchetti npm compromessi associati allo sviluppo di applicazioni JavaScript e cloud di SAP. Le versioni malevole introducono un hook preinstall nel file package.json che esegue automaticamente setup.mjs, un loader progettato per il runtime Bun JavaScript. Questo meccanismo permette l'esecuzione di codice malevolo già durante l'installazione del pacchetto, prima che lo sviluppatore possa intervenire.

Secondo Socket, The affected versions introduced new installation-time behavior that was not previously part of these packages' expected functionality. L'implementazione del malware segue inoltre i redirect HTTP senza validare la destinazione e utilizza PowerShell con il flag -ExecutionPolicy Bypass su sistemi Windows, aumentando significativamente il rischio per gli ambienti di sviluppo e CI/CD interessati.

Targeting di AI coding agent: una novità negli attacchi supply chain

L'aspetto più rilevante di questa campagna risiede nella capacità del malware di bersagliare specificamente le configurazioni degli strumenti di sviluppo assistiti dall'intelligenza artificiale. StepSecurity ha definito l'attacco come one of the first supply chain attacks to target AI coding agent configurations as a persistence and propagation vector.

Il malware inietta due file di configurazione specifici: il file .claude/settings.json che sfrutta l'hook SessionStart di Claude Code, e il file .vscode/tasks.json con l'impostazione runOn: folderOpen. Questi meccanismi garantiscono la persistenza del malware nell'ambiente di sviluppo, riattivandosi automaticamente ogni volta che lo sviluppatore apre un progetto o avvia una nuova sessione con l'AI coding agent.

Esfiltrazione e cifratura dei dati rubati

Il payload del malware, della dimensione di 11.6 MB, ha capacità di auto-propagazione attraverso i workflow di sviluppo e release. Una volta attivo, il malware ruba credenziali locali dello sviluppatore, token GitHub e npm, segreti GitHub Actions e cloud secrets da AWS, Azure, GCP e Kubernetes. Tutti i dati esfiltrati vengono cifrati con l'algoritmo AES-256-GCM, con la chiave di cifratura incapsulata tramite RSA-4096.

Le chiavi RSA utilizzate per cifrare i segreti sono le stesse impiegate nella settimana precedente nell'attacco al pacchetto @bitwarden/cli, suggerendo un collegamento operativo tra le due campagne. I dati rubati vengono esfiltrati verso repository GitHub pubblici creati sull'account della vittima, contraddistinti dalla descrizione A Mini Shai-Hulud has Appeared.

Impatto e diffusione

Le fonti riportano numeri leggermente diversi relativamente alla diffusione dell'attacco. Secondo StepSecurity sono stati creati oltre 1.100 repository pubblici con token rubati, mentre GitGuardian ha identificato 971 repository pubblici. GitGuardian specifica che il conteggio è cresciuto da 847 a 1.006 durante la stesura del proprio report, indicando che i numeri diversi riflettono momenti diversi di osservazione del fenomeno.

Gli analisti di GitGuardian hanno identificato 7 commit contenenti token GitHub (prefisso ghp_) esposti, tutti ancora validi alle 16:46 EST del 29 aprile. Gli stessi 7 token compromessi sono responsabili della creazione di 936 repository, pari al 96% del totale identificato dai top 6 account GitHub utilizzati per l'esfiltrazione.

Collegamento con precedenti operazioni

Wiz ha notato che i pacchetti malevoli presentano caratteristiche coerenti con le precedenti operazioni TeamPCP, indicando probabile azione dello stesso threat actor. Il malware implementa inoltre un meccanismo di fallback: in assenza di token disponibili, scansiona i commit alla ricerca della stringa OhNoWhatsGoingOnWithGitHub: per recuperare credenziali nascoste.

StepSecurity consiglia agli sviluppatori di verificare la presenza di file .claude/settings.json e .vscode/tasks.json sospetti nei propri progetti, di monitorare l'attività dei propri repository GitHub per identificare creazioni non autorizzate, e di revocare immediatamente eventuali token esposti.

Domande frequenti

Cos'è mini Shai-Hulud?

Mini Shai-Hulud è una campagna malware che colpisce pacchetti npm dell'ecosistema SAP, rubando credenziali sviluppatori e sfruttando le configurazioni di AI coding agent come vettore di persistenza.

Quali configurazioni AI coding agent sono colpite?

Il malware targetizza le configurazioni di Claude Code tramite il file .claude/settings.json con l'hook SessionStart, e di VS Code tramite .vscode/tasks.json con runOn: folderOpen.

Come proteggersi dall'attacco?

Verificare la presenza di file di configurazione sospetti nei progetti, monitorare l'attività dei repository GitHub per identificare creazioni non autorizzate, revocare i token esposti e utilizzare strumenti come npm audit per individuare pacchetti compromessi.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Fonti

• https://www.cybersecurityup.it/component/content/article/2-news-cyber-security/1950-super-worm-su-npm-oltre-500-pacchetti-compromessi,-rischio-credenziali-per-sviluppatori-e-aziende
• https://www.acn.gov.it/portale/en/w/supply-chain-attack-rilevata-compromissione-di-pacchetti-npm
• https://www.securityinfo.it/2025/09/16/un-attacco-supply-chain-ha-compromesso-oltre-40-pacchetti-npm/
• https://insicurezzadigitale.com/crowdstrike-colpita-da-attacco-supply-chain-pacchetti-npm-compromessi-nel-framework-shai-halud/
• https://www.acn.gov.it/portale/en/w/supply-chain-attack-proseguono-le-campagne-di-compromissione-pacchetti-npm