Scoperto codice malware che mina criptovalute all’insaputa dell’utente in undici librerie pubbliche

Andiamo con ordine, onde evitare equivoci, perché la questione arriva da lontano ed è più complessa di quanto si potrebbe credere; iniziamo quindi col dire cosa significhi la parola cryptojacking, dal momento che spesso viene indebitamente usata come sinonimo di malware. Per cryptojacking si intende, molto semplicemente, la possibilità di minare criptovalute usando i computer degli utenti che, per esempio, visitano un sito web; in questo senso, quindi, si può parlare di un’attività assolutamente lecita perché semplicemente tesa a monetizzare un contenuto online. Il problema non si pone quando tali codici sono montati su siti web e l’attività mineraria cessa automaticamente nel momento in cui l’utente abbandona la pagina internet, il problema si pone quando all’insaputa dell’utente tali codici vengono installati sul computer; è esattamente quanto accaduto agli sfortunati utenti che hanno scaricato una delle 11 librerie pubbliche (scritte in Ruby) che, stando a quanto riferito da Decrypt nella giornata di ieri, contenevano codice per fare cryptojacking all’insaputa del malcapitato di turno. Le librerie infette sarebbero state scaricate, modificate e sostituite dagli hacker, successivamente sono state scaricate quasi 4000 volte prima che un utente si accorgesse del problema e lo segnalasse; il codice è stato notato per la prima volta da un utente GitHub, il quale ha prontamente provveduto a segnalarlo in data 19 agosto. Da una prima analisi della situazione è poi emerso che il codice non si limitava a cannibalizzare la macchina dell’utente per minare criptovalute ma, una volta scaricata la libreria ed eseguito il codice, il malware provvedeva anche ad inviare l’indirizzo dell’host infetto all’attaccante insieme a variabili di ambiente che potrebbero aver incluso le credenziali di accesso ad alcuni siti. Non è quindi un caso che cinque delle undici librerie infette puntassero esplicitamente agli appassionati di criptovalute, dal momento che riportavano nomi come doge-coin, bitcoin_vanity, coin_base e blockchain_wallet; chiaro che queste librerie siano state scaricate solo da persone che operano abitualmente con le cripto, altrettanto chiaro che il malware puntasse ad ottenere in qualche modo le credenziali di accesso alle piattaforme di scambio. Fortunatamente gli utenti coinvolti non sono tantissimi, si tratta certamente di quasi 4000 persone che, adesso, dovranno premunirsi di bonificare i propri computer e cambiare le proprie password, per fortuna però il problema è emerso prima che il numero di persone esposte aumentasse a dismisura.