Perché gli hacker stanno trasformando l'open source in un'arma globale

Sicurezza

Il furto di codice sorgente ai danni di GitHub, confermato dopo l’installazione di un’estensione malevola per Visual Studio Code su una workstation interna, segna uno dei punti più critici nella storia recente degli attacchi alla supply chain software. Dietro l’operazione c’è TeamPCP, gruppo criminale che negli ultimi mesi ha compromesso centinaia di pacchetti open source distribuiti tramite npm, PyPI, Docker Hub e repository GitHub, introducendo malware in strumenti usati quotidianamente da sviluppatori e infrastrutture CI/CD.

Già nel 2020 il caso SolarWinds aveva mostrato quanto potesse essere devastante compromettere software considerato affidabile. Oggi però la situazione appare molto più aggressiva: TeamPCP ha automatizzato gran parte delle operazioni sfruttando token GitHub, credenziali cloud, workflow GitHub Actions e meccanismi di pubblicazione trusted publisher.

Secondo diverse società di sicurezza, il gruppo ha orchestrato oltre 20 campagne distinte in pochi mesi, compromettendo più di 500 componenti software e migliaia di versioni distribuite tramite registri pubblici.

La fragilità nascosta nella filiera open source