Alessandro FerrariNella notte tra il 30 e il 31 marzo 2026, hacker riconducibili alla Corea del Nord hanno compromesso il pacchetto npm Axios — la libreria JavaScript più scaricata al mondo con oltre 100 milioni di download settimanali — iniettando un backdoor in grado di colpire Windows, macOS e Linux. Per circa tre ore, milioni di sviluppatori e aziende di tutto il mondo hanno installato inconsapevolmente codice malevolo. Le aziende italiane che usano Axios nei loro progetti software devono agire ora.
Cosa è successo: tre ore che hanno messo a rischio milioni di progetti
Tra le 00:21 e le 03:20 UTC del 31 marzo 2026, gli attaccanti hanno compromesso l'account del maintainer npm di Axios e pubblicato due versioni infette: la 1.14.1 e la 0.30.4. Entrambe contenevano una dipendenza malevola chiamata "plain-crypto-js" — un dropper offuscato che al momento dell'installazione scaricava ed eseguiva automaticamente il backdoor WAVESHAPER.V2.
Il malware era multipiattaforma: funzionava su Windows, macOS e Linux, permettendo agli attaccanti di ottenere accesso remoto persistente ai sistemi colpiti. Google Cloud ha attribuito l'attacco al gruppo UNC1069, noto anche come Sapphire Sleet secondo la nomenclatura Microsoft, un attore statale nordcoreano attivo dal 2018 con motivazioni prevalentemente finanziarie.
Le versioni infette sono state rimosse dall'npm registry dopo circa tre ore, ma il danno potenziale è significativo: chiunque abbia aggiornato Axios durante quella finestra temporale potrebbe avere sistemi compromessi.
Perché questo attacco è diverso da quelli precedenti
Gli attacchi alla supply chain software — quelli che colpiscono non un'azienda direttamente ma i suoi fornitori o strumenti di sviluppo — sono considerati tra le minacce più insidiose del panorama cyber attuale. A differenza del phishing, che richiede un'azione dell'utente, questo tipo di attacco sfrutta la fiducia automatica che gli sviluppatori ripongono nei pacchetti open source.
Axios non è un pacchetto di nicchia: è la libreria standard de facto per le richieste HTTP in JavaScript e TypeScript, utilizzata in praticamente ogni progetto web moderno, da startup a grandi imprese. Secondo i dati di npm, circa 9 milioni di pacchetti la elencano come dipendenza diretta o transitiva.
Il fatto che un attore stato-nazionale abbia preso di mira un pacchetto così diffuso segnala una escalation nella sofisticazione degli attacchi. Secondo il Computer Security Incident Response Team (CSIRT) italiano, afferente all'Agenzia per la Cybersicurezza Nazionale (ACN), gli attacchi alla supply chain rappresentano una delle principali aree di attenzione per il 2026.
Cosa devono fare subito le aziende italiane
Se la tua azienda utilizza Axios — o qualsiasi framework o applicazione che lo include come dipendenza — ci sono azioni concrete da intraprendere immediatamente.
Verifica le versioni installate. Controlla ogni progetto alla ricerca delle versioni 1.14.1 e 0.30.4 di Axios. Usa il comando npm list axios nelle directory di progetto o scansiona il file package-lock.json. Se trovi una di queste versioni, considera il sistema potenzialmente compromesso fino a prova contraria.
Aggiorna immediatamente. Passa alla versione 1.14.2 o superiore, oppure alla 0.30.5 per i branch legacy. Le versioni sicure sono già disponibili su npm.
Audit del sistema. Se hai installato la versione infetta durante la finestra 00:21-03:20 UTC del 31 marzo, esegui una scansione completa del sistema con strumenti di rilevamento delle minacce. Verifica la presenza di processi anomali, connessioni in uscita verso infrastrutture sconosciute e modifiche non autorizzate ai file di sistema.
Controlla le pipeline CI/CD. Gli ambienti di integrazione continua che eseguono npm install automaticamente potrebbero aver scaricato il pacchetto infetto. Rivedi i log di build per il 31 marzo e valuta la ricostruzione degli artefatti da quella data.
Notifica il tuo DPO. In Italia, ai sensi del GDPR e del D.Lgs. 196/2003, una violazione dei dati personali va notificata al Garante entro 72 ore dalla scoperta. Se i sistemi compromessi trattano dati personali di utenti o clienti, coinvolgi subito il tuo Data Protection Officer per valutare l'obbligo di notifica.
Il ruolo dello specialista IT nella risposta all'incidente
Gestire un incidente di sicurezza come questo non è un'attività fai-da-te. Le aziende prive di un team di sicurezza interno — la maggioranza delle PMI italiane — si trovano in una posizione vulnerabile: sanno che qualcosa non va, ma non hanno le competenze per valutare l'entità del danno.
Uno specialista IT con competenze in cybersicurezza può:
- Eseguire un'analisi forense per determinare se il sistema è stato effettivamente compromesso o solo esposto
- Identificare eventuali movimenti laterali del malware all'interno della rete aziendale
- Supportare la risposta all'incidente con procedure documentate conformi agli standard ISO/IEC 27035
- Preparare la documentazione tecnica necessaria per la notifica al Garante o per eventuali comunicazioni ai clienti
- Implementare misure preventive per ridurre l'esposizione a futuri attacchi alla supply chain
La distinzione tra "il sistema era esposto" e "il sistema è stato compromesso" è cruciale e richiede competenze tecniche specifiche. Agire tempestivamente, con il supporto di un esperto, può fare la differenza tra un incidente gestibile e una violazione con conseguenze legali e reputazionali significative.
Lezione da portare a casa: la supply chain software come vettore di attacco
L'attacco ad Axios non è un caso isolato. Negli ultimi anni, attacchi simili hanno colpito SolarWinds (2020), Codecov (2021), XZ Utils (2024) e decine di altri strumenti ampiamente utilizzati. Il pattern è sempre lo stesso: compromettere un componente di cui tutti si fidano per raggiungere migliaia di obiettivi contemporaneamente.
Per le aziende italiane, la risposta strategica passa per tre livelli: adottare strumenti di Software Composition Analysis (SCA) che rilevano automaticamente le dipendenze vulnerabili; implementare politiche di dependency pinning che bloccano le versioni consentite; e formare i team di sviluppo sulla sicurezza della supply chain come parte ordinaria del ciclo di sviluppo software.
Se hai dubbi sull'esposizione della tua azienda o hai bisogno di una valutazione tecnica dell'incidente, consulta uno specialista IT su ExpertZoom: l'intervento tempestivo è sempre meno costoso delle conseguenze di una compromissione non rilevata.
Nota: Questo articolo fornisce informazioni generali di carattere tecnico. Per una valutazione specifica del tuo ambiente IT, rivolgiti a un professionista qualificato. In caso di violazione dei dati personali, consulta il tuo DPO e fai riferimento alle indicazioni del Garante per la protezione dei dati personali.
