Una nuova ondata di attacchi informatici, denominata “GlassWorm”, sta sfruttando una debolezza fondamentale nello sviluppo del software moderno: la dipendenza dal codice open source. I ricercatori hanno scoperto che gli autori di attacchi nascondono codice eseguibile all’interno di pacchetti software apparentemente innocui utilizzando caratteri Unicode invisibili. Questo metodo consente al malware di superare i controlli di sicurezza standard, compromettendo centinaia di progetti su piattaforme come GitHub e npm.
La minaccia silenziosa: come funziona GlassWorm
Il nocciolo dell’attacco risiede nello sfruttamento del modo in cui i computer interpretano il testo. Gli aggressori inseriscono codice sottile, ma funzionale, nei progetti open source. Queste modifiche sembrano benigne all’occhio umano ma sono eseguibili da un computer. Justin Cappos, professore di informatica alla New York University, lo descrive come un messaggio nascosto in bella vista, come alterare leggermente i colori dell’inchiostro per incorporare dati aggiuntivi.
Questa non è una nuova tecnica; nel 2021, i ricercatori dell’Università di Cambridge hanno identificato vulnerabilità simili chiamate “Trojan Source”. Tuttavia, GlassWorm si distingue per la sua dimensione e raffinatezza. Gli aggressori presentano correzioni apparentemente minori ai software più diffusi, incorporando istruzioni dannose che non vengono rilevate.
Il rischio della catena di fornitura
Il vero pericolo di GlassWorm è la sua capacità di sfruttare la catena di fornitura del software. Le applicazioni moderne raramente iniziano da zero; si basano invece su librerie e dipendenze già scritte. Ciò significa che un singolo pacchetto compromesso può infettare innumerevoli progetti. Non è necessario che un utente malintenzionato prenda di mira direttamente un’applicazione; possono avvelenare un elemento comune, garantendo che il malware si diffonda automaticamente.
Tra il 3 e il 9 marzo, le società di sicurezza informatica hanno identificato l’attività di GlassWorm in centinaia di repository, inclusi quelli scritti in JavaScript, TypeScript e Python. Entro il 16 marzo erano stati infettati due pacchetti precedentemente puliti con oltre 135.000 download mensili. L’obiettivo degli aggressori è puramente finanziario: il codice nascosto scarica script secondari progettati per rubare criptovaluta, credenziali di sviluppatore e altri dati preziosi.
Il problema più grande: la sicurezza sottofinanziata
Il successo di GlassWorm evidenzia una questione critica. La sicurezza della catena di fornitura del software è stata storicamente trascurata. Mentre gli attori degli stati-nazione sfruttano queste vulnerabilità da anni, i criminali informatici stanno ora sfruttando l’opportunità. Cappos sostiene che incolpare i manutentori è una distrazione; il vero problema sono gli strumenti di sicurezza inadeguati.
“La cosa più semplice da fare è cercare di incolpare i manutentori, ma è un po’ miope. Gli strumenti e le protezioni di sicurezza devono migliorare per salvarci.”
Questo attacco sottolinea la necessità di metodi di rilevamento migliorati e di un’infrastruttura di sicurezza più solida. La dipendenza dell’ecosistema open source dalla fiducia è in fase di test e le conseguenze potrebbero essere diffuse finché non verranno implementate difese migliori.
