Roma, 1 apr. (askanews) – La Corea del Nord non è soltanto una minaccia dal punto di vista missilistico e nucleare. Negli anni Pyongyang ha costruito anche una formidabile capacità di attacco nel cyberspazio, che oggi rappresenta una delle principali fonti di denaro, influenza e proiezione esterna del regime. L’ultimo allarme, quello che ha coinvolto il software axios, aiuta a capire quanto si sia evoluta la capacità di cyberattacco di Pyongyang e segnala un salto di qualità: non si parla più soltanto di incursioni contro banche o piattaforme di criptovalute, ma di operazioni che puntano a colpire la filiera del software, cioè quei componenti diffusissimi che migliaia di aziende usano ogni giorno per far funzionare siti, applicazioni e servizi online.
Secondo Google Threat Intelligence, nella notte tra il 30 e il 31 marzo un attore collegato alla Corea del Nord ha compromesso per circa tre ore due versioni del pacchetto axios pubblicate sul registro npm, inserendo una dipendenza malevola capace di installare un trojan di accesso remoto su Windows, macOS e Linux.
Axios non è un software di nicchia: è una delle librerie JavaScript più usate per gestire richieste web, con decine di milioni di download settimanali. Questo significa che una sua compromissione non colpisce una sola vittima, ma può propagarsi in modo silenzioso dentro ambienti di sviluppo, pipeline di aggiornamento, workstation di programmatori e sistemi aziendali. Huntress, una delle società che hanno seguito il caso, ha osservato almeno 135 endpoint in contatto con l’infrastruttura dell’attacco durante la finestra di esposizione. Non s’è trattato, insomma, un assalto frontale a un singolo bersaglio, ma di un tentativo di contaminare molte vittime insieme. Un malware di distruzione di massa.
Secondo la ricostruzione di Google, le versioni compromesse sono state la 1.14.1 e la 0.30.4 di axios, pubblicate tra le 00.21 e le 03.20 UTC (02.21 e 05.20 in Italia) del 31 marzo, con l’aggiunta di una dipendenza chiamata ‘plain-crypto-js’. Quest’ultima conteneva uno script ‘postinstall’, cioè un meccanismo che si attiva automaticamente durante l’installazione del pacchetto, e serviva a distribuire un malware indicato come WAVESHAPER.V2. In termini semplici, chi aggiornava il software in quella finestra temporale poteva scaricare, senza accorgersene, una porta d’ingresso dentro il proprio sistema. Huntress sottolinea che la prima infezione osservata è arrivata appena 89 secondi dopo la pubblicazione della versione malevola, un dettaglio che mostra quanto siano automatiche e veloci oggi le catene di aggiornamento del software.
L’attribuzione dell’operazione è per ora quella dei ricercatori privati e non una attribuzione pubblica governativa. Google collega il caso a UNC1069, un gruppo connesso alla Corea del Nord e attivo almeno dal 2018, già noto per campagne contro il settore fintech e le criptovalute. E’ un elemento rilevante perché mostra una continuità di metodo: Pyongyang non punta più solo al furto finale, ma sempre più spesso lavora sulle fasi precedenti, cercando accessi iniziali attraverso compromissione di account, ingegneria sociale, software alterato e furto di credenziali.
Il caso axios, quindi, non va letto come un incidente isolato, ma come l’ultimo tassello di una capacità cyber ormai strutturale. Per capire il livello raggiunto oggi dalla Corea del Nord nel cyberspazio bisogna tornare almeno al 2014, all’attacco contro Sony Pictures Entertainment. All’epoca l’Fbi concluse pubblicamente che il governo nordcoreano era responsabile dell’intrusione, che distrusse sistemi, rubò grandi quantità di dati riservati e mandò fuori uso migliaia di computer. Negli anni successivi il Dipartimento di Giustizia e il Tesoro Usa hanno poi ricondotto quella operazione alla galassia di gruppi che nel settore privato viene spesso indicata come “Lazarus”, descrivendola non come una sigla unica e monolitica, ma come parte dell’apparato cyber statale nordcoreano legato a quello che in inglese è definito Reconnaissance General Bureau, il principale servizio d’intelligence di Pyongyang.
Da allora l’evoluzione è stata netta: dal sabotaggio e dalle operazioni coercitive si è passati sempre di più alla monetizzazione sistematica degli attacchi. Il Tesoro Usa sostiene che Lazarus stato coinvolto nella diffusione del ransomware WannaCry 2.0 del 2017, mentre il suo sottogruppo Bluenoroff sarebbe stato creato specificamente per generare entrate illecite per il regime attraverso rapine digitali a istituzioni finanziarie, compreso il furto di circa 81 milioni di dollari dalla banca centrale del Bangladesh. Nella stessa linea si collocano le campagne FastCash, che secondo l’allerta congiunto del governo Usa hanno permesso ad attori nordcoreani di sottrarre decine di milioni di dollari da sportelli bancomat in Asia e Africa.
Anche sul piano dei malware l’evoluzione è evidente. Il governo Usa usa da anni l’etichetta “Hidden Cobra” per riferirsi all’attività cyber malevola nordcoreana e ha collegato a Pyongyang una serie di strumenti e campagne diverse: da WannaCry, che colpì centinaia di migliaia di computer nel mondo, fino ad AppleJeus, una famiglia di malware mascherata da applicazioni di trading di criptovalute, descritta in un advisory congiunto di Fbi, Cisa e Tesoro del 2021, e al ransomware Maui, usato contro il settore sanitario e altre infrastrutture critiche secondo un advisory congiunto del 2022 poi aggiornato nel 2023.
Nell’Annual Threat Assessment 2026, l’intelligence Usa descrive il programma cyber nordcoreano, insieme all’uso di lavoratori IT con identità false, come ‘sofisticato e agile’. Lo stesso rapporto afferma che le attività cyber illecite, compresi i furti di criptovalute, hanno contribuito a portare le entrate in valuta pregiata di Pyongyang ai livelli più alti dal 2018, cioè da prima dell’inasprimento delle sanzioni internazionali. Il cyberspazio è ormai una delle principali fonti di finanziamento del regime di Kim Jong Un.
L’ultimo rapporto del Multilateral Sanctions Monitoring Team, il meccanismo per monitorare violazioni ed elusione delle sanzioni contro la Corea del Nord. Il documento definisce il sistema cyber di Pyongyang un ‘programma nazionale a spettro completo’, con un grado di sofisticazione vicino a quello di Cina e Russia, e sostiene che il regime usa queste capacità per aggirare le sanzioni Onu e generare entrate destinate, tra l’altro, ai programmi nucleari e missilistici.
Il denaro resta, comunque, il cuore del sistema. Secondo lo stesso rapporto, nel 2024 la Corea del Nord ha rubato almeno 1,19 miliardi di dollari in criptovalute, e tra gennaio e settembre 2025 almeno altri 1,64 miliardi, per un totale di oltre 2,8 miliardi nel periodo considerato. Il rapporto aggiunge che il grande colpo a Bybit del febbraio 2025 ha rappresentato la quota largamente prevalente dei proventi crypto nordcoreani dell’anno successivo. Si tratta di cifre enormi, che danno la misura del ruolo ormai centrale del furto digitale nell’economia politica di Pyongyang.
Sul caso Bybit l’attribuzione non viene soltanto dal settore privato. L’Fbi ha dichiarato pubblicamente che la Corea del Nord è responsabile del furto di circa 1,5 miliardi di dollari in asset virtuali dall’exchange, classificando l’operazione sotto il nome ‘TraderTraitor’.
Ma la macchina nordcoreana non si ferma agli hacker in senso stretto. Un altro pilastro è quello dei falsi lavoratori informatici impiegati da remoto presso aziende straniere. Secondo il Tesoro Usa, questi schemi hanno generato quasi 800 milioni di dollari nel solo 2024 e servono a finanziare i programmi per la costruzione di armi distruzione di massa di Pyongyang. Il metodo, ormai ben noto, combina documenti fraudolenti, identità rubate o inventate, profili professionali credibili e laptop aziendali ospitati in Paesi terzi per simulare una presenza locale. In alcuni casi, dice il Tesoro, questi lavoratori introducono anche malware nelle reti delle società che li assumono.
Anche qui il fenomeno ha assunto dimensioni sistemiche. Il Dipartimento di Giustizia americano ha parlato nel novembre 2025 di più di 136 aziende statunitensi colpite da questi schemi, con oltre 2,2 milioni di dollari generati direttamente per il regime e l’identità di almeno 18 cittadini Usa compromessa. Il rapporto multilaterale aggiunge che nel 2024 i lavoratori IT nordcoreani hanno ampliato la loro attività anche in Europa, puntando soprattutto a Germania, Portogallo e Regno unito, con particolare attenzione a settori come intelligenza artificiale, blockchain, sviluppo web, difesa e ambito governativo.
Questa combinazione di strumenti è ciò che rende oggi la minaccia nordcoreana diversa da molte altre. Pyongyang usa il cyberspazio per fare insieme tre cose: raccogliere informazioni, creare accessi e soprattutto trasformare vulnerabilità tecnologiche in denaro. Quel denaro, a sua volta, alimenta programmi militari, permette di aggirare le sanzioni e di creare margini di manovra geopolitica. E’ un modello di guerra asimmetrica a basso costo e ad alto rendimento, nel quale un Paese isolato e sanzionato riesce a proiettare potere ben oltre i propri confini.
In questo senso, il caso axios è un segnale molto allarmante. Mostra che la Corea del Nord non punta più solo ai caveau digitali, ma anche alle fondamenta del software globale. Se riesci a compromettere un componente usato in tutto il mondo, puoi seminare accessi, raccogliere credenziali e preparare ulteriori operazioni con un’efficienza che sarebbe impossibile colpendo i bersagli uno a uno.
