Gli hacker stanno nascondendo malware negli strumenti open-source e nelle estensioni IDE.
La credenza comune che “il codice sorgente aperto è sicuro perché chiunque può ispezionarlo” è fuorviante. In realtà, la maggior parte dei progetti open source include componenti e addon che non sono affatto open source — e queste parti nascoste possono facilmente contenere spyware, malware e virus. Una volta installati, possono prendere il controllo sia del computer dell'utente che dei server che eseguono il cosiddetto codice sorgente aperto, dando ai pirati informatici il controllo completo per fare ciò che vogliono.
Un attacco informatico recentemente scoperto—una delle campagne più sofisticate rivolte agli sviluppatori viste negli ultimi anni—sta utilizzando il flusso di lavoro quotidiano degli ingegneri software come arma.
Le aziende di sicurezza hanno rivelato un'operazione malevola in cui gli attaccanti inseriscono malware furtivo in estensioni apparentemente innocue e strumenti open-source utilizzati da decine di migliaia di sviluppatori in tutto il mondo.
Queste estensioni sembrano completamente legittime, eppure esfiltrano silenziosamente dati estremamente sensibili come password, credenziali di accesso Wi-Fi, token di autenticazione, contenuti degli appunti e persino screenshot dal vivo catturati direttamente dai computer degli sviluppatori.
ESTENSIONI VCODE COMPROMESSE: “BITCOIN BLACK” E “CODO AI”
Due estensioni di Visual Studio Code sono state confermate contenere componenti malevoli incorporati: il tema _Bitcoin Black_ e uno strumento di assistente AI chiamato _Codo AI_. Entrambe le estensioni sembravano perfettamente legittime nel marketplace e compivano le funzioni pubblicizzate, il che ha contribuito a farle sfuggire al sospetto e a raggiungere una ampia adozione.
Una volta installate, le estensioni hanno distribuito un payload malevolo aggiuntivo che raccoglieva continuamente dati dai dispositivi infetti. Gli attori della minaccia non si accontentavano di raccogliere solo password. Il malware catturava screenshot in tempo reale degli schermi degli sviluppatori, rivelando codice sorgente, discussioni su Slack, credenziali, documentazione interna e directory di progetti confidenziali.
Questo livello di visibilità consente agli attaccanti di mappare interi flussi di lavoro, comprendere architetture sensibili e mirare alle organizzazioni con precisione.
LA TECNICA D'ATTACCO: DLL HIJACKING COME MEZZO DI CONSEGNA
L'operazione si basava su un metodo avanzato noto come DLL HIJACKING, che sfrutta il modo in cui il software legittimo carica le librerie di sistema.
Gli attaccanti hanno scaricato uno strumento di screenshot reale e benigno (Lightshot) sul computer della vittima, abbinandolo a una DLL malevola che portava lo stesso nome del file della libreria prevista dallo strumento. Quando Lightshot veniva avviato, caricava automaticamente la DLL contraffatta dell'attaccante. Questo attivava l'esecuzione del malware senza suscitare sospetti.
I ricercatori di sicurezza hanno scoperto che il malware raccoglieva:
*
Screenshot continui e dati degli appunti
*
Password Wi-Fi e credenziali wireless salvate
*
Cookie del browser, token di autenticazione e sessioni attive (via Chrome e Edge in modalità headless)
*
Informazioni sui software installati, processi in esecuzione e strumenti di sviluppo
Koi Security riporta che gli attaccanti hanno iterato e migliorato l'operazione, utilizzando sempre più script “puliti” e dall'aspetto innocuo per integrarsi con l'attività normale degli sviluppatori.
LA CAMPAGNA SI STA ESPANDENDO OLTRE VS CODE
Sebbene i primi risultati siano emersi in VS Code, ora stanno apparendo iniezioni malevole simili in tutto l'ecosistema open-source più ampio:
*
NPM E GO: pacchetti di malware che imitano i nomi di librerie popolari e affidabili
*
RUST: una libreria chiamata _finch-rust_ si mascherava come uno strumento di calcolo scientifico, ma caricava invece un ulteriore componente malware chiamato _sha-rust_
Questo riflette un attacco diretto alla CATENA DI FORNITURA SOFTWARE—il meccanismo di fiducia su cui gli sviluppatori si basano quando importano pacchetti, estensioni o dipendenze. Compromettendo gli strumenti che si trovano al cuore dello sviluppo software, gli attaccanti ottengono accesso privilegiato a intere organizzazioni.
PERCHÉ QUESTA MINACCIA È COSÌ PERICOLOSA
Un singolo sviluppatore che installa un'estensione dall'aspetto benigno può inavvertitamente innescare una violazione in tutta l'azienda:
*
Furto di codice sorgente proprietario e fondamentale
*
Acquisizione di account di sviluppo su GitHub e altre piattaforme cloud
*
Infezione di pipeline CI/CD e ambienti di build
*
Esposizione di dati sensibili dei clienti, credenziali e architettura interna
Poiché gli ambienti di sviluppo sono progettati per essere privilegiati—contenendo segreti, token, chiavi SSH e codice—il raggio d'azione della compromissione è enorme.
La scansione statica del codice tradizionale è insufficiente per rilevare questi attacchi. Le stesse estensioni frequentemente appaiono legittime o includono codice innocuo insieme a payload nascosti. Ciò che è necessario è un MONITORAGGIO COMPORTAMENTALE IN TEMPO REALE capace di segnalare azioni anomale—come un'estensione del tema che tenta di accedere alle password memorizzate.
MISURE DI SICUREZZA RACCOMANDATE PER SVILUPPATORI E ORGANIZZAZIONI
Per ridurre l'esposizione, le aziende di cybersecurity raccomandano i seguenti passi difensivi:
*
ABILITARE L'AUTENTICAZIONE A DUE FATTORI SU TUTTI GLI ACCOUNT DI SVILUPPO, inclusi GitHub, GitLab, fornitori di cloud e strumenti CI/CD.
*
VERIFICARE L'IDENTITÀ E LA REPUTAZIONE DEGLI EDITORI DI ESTENSIONI prima dell'installazione.
*
EVITARE PLUGIN ANONIMI, POORLY REVIEWED O SCONOSCIUTI—anche se sembrano innocui.
*
ADOTTARE STRUMENTI DI SICUREZZA CHE INCLUDANO DETECTION COMPORTAMENTALE, non solo scansioni statiche.
*
TRATTARE TUTTI GLI STRUMENTI DI SVILUPPO POTENZIATI DALL'IA CON CAUTELA, specialmente quelli che richiedono permessi di sistema elevati.
*
Condurre AUDIT REGOLARI DEGLI AMBIENTI DI SVILUPPO, inclusi sessioni del browser, segreti, token memorizzati ed estensioni installate.
Questo attacco segna un punto di svolta nel crimine informatico rivolto agli sviluppatori.
Colpendo gli stessi strumenti di cui gli sviluppatori si affidano quotidianamente, gli attaccanti ottengono accesso senza precedenti all'ecosistema software globale. I risultati sottolineano l'urgente necessità di una sicurezza più forte della catena di fornitura, di un rigoroso esame delle estensioni e di un monitoraggio comportamentale per difendere i flussi di lavoro di sviluppo più sensibili al mondo.
Le aziende di sicurezza hanno rivelato un'operazione malevola in cui gli attaccanti inseriscono malware furtivo in estensioni apparentemente innocue e strumenti open-source utilizzati da decine di migliaia di sviluppatori in tutto il mondo.
Queste estensioni sembrano completamente legittime, eppure esfiltrano silenziosamente dati estremamente sensibili come password, credenziali di accesso Wi-Fi, token di autenticazione, contenuti degli appunti e persino screenshot dal vivo catturati direttamente dai computer degli sviluppatori.
ESTENSIONI VCODE COMPROMESSE: “BITCOIN BLACK” E “CODO AI”
Due estensioni di Visual Studio Code sono state confermate contenere componenti malevoli incorporati: il tema _Bitcoin Black_ e uno strumento di assistente AI chiamato _Codo AI_. Entrambe le estensioni sembravano perfettamente legittime nel marketplace e compivano le funzioni pubblicizzate, il che ha contribuito a farle sfuggire al sospetto e a raggiungere una ampia adozione.
Una volta installate, le estensioni hanno distribuito un payload malevolo aggiuntivo che raccoglieva continuamente dati dai dispositivi infetti. Gli attori della minaccia non si accontentavano di raccogliere solo password. Il malware catturava screenshot in tempo reale degli schermi degli sviluppatori, rivelando codice sorgente, discussioni su Slack, credenziali, documentazione interna e directory di progetti confidenziali.
Questo livello di visibilità consente agli attaccanti di mappare interi flussi di lavoro, comprendere architetture sensibili e mirare alle organizzazioni con precisione.
LA TECNICA D'ATTACCO: DLL HIJACKING COME MEZZO DI CONSEGNA
L'operazione si basava su un metodo avanzato noto come DLL HIJACKING, che sfrutta il modo in cui il software legittimo carica le librerie di sistema.
Gli attaccanti hanno scaricato uno strumento di screenshot reale e benigno (Lightshot) sul computer della vittima, abbinandolo a una DLL malevola che portava lo stesso nome del file della libreria prevista dallo strumento. Quando Lightshot veniva avviato, caricava automaticamente la DLL contraffatta dell'attaccante. Questo attivava l'esecuzione del malware senza suscitare sospetti.
I ricercatori di sicurezza hanno scoperto che il malware raccoglieva:
*
Screenshot continui e dati degli appunti
*
Password Wi-Fi e credenziali wireless salvate
*
Cookie del browser, token di autenticazione e sessioni attive (via Chrome e Edge in modalità headless)
*
Informazioni sui software installati, processi in esecuzione e strumenti di sviluppo
Koi Security riporta che gli attaccanti hanno iterato e migliorato l'operazione, utilizzando sempre più script “puliti” e dall'aspetto innocuo per integrarsi con l'attività normale degli sviluppatori.
LA CAMPAGNA SI STA ESPANDENDO OLTRE VS CODE
Sebbene i primi risultati siano emersi in VS Code, ora stanno apparendo iniezioni malevole simili in tutto l'ecosistema open-source più ampio:
*
NPM E GO: pacchetti di malware che imitano i nomi di librerie popolari e affidabili
*
RUST: una libreria chiamata _finch-rust_ si mascherava come uno strumento di calcolo scientifico, ma caricava invece un ulteriore componente malware chiamato _sha-rust_
Questo riflette un attacco diretto alla CATENA DI FORNITURA SOFTWARE—il meccanismo di fiducia su cui gli sviluppatori si basano quando importano pacchetti, estensioni o dipendenze. Compromettendo gli strumenti che si trovano al cuore dello sviluppo software, gli attaccanti ottengono accesso privilegiato a intere organizzazioni.
PERCHÉ QUESTA MINACCIA È COSÌ PERICOLOSA
Un singolo sviluppatore che installa un'estensione dall'aspetto benigno può inavvertitamente innescare una violazione in tutta l'azienda:
*
Furto di codice sorgente proprietario e fondamentale
*
Acquisizione di account di sviluppo su GitHub e altre piattaforme cloud
*
Infezione di pipeline CI/CD e ambienti di build
*
Esposizione di dati sensibili dei clienti, credenziali e architettura interna
Poiché gli ambienti di sviluppo sono progettati per essere privilegiati—contenendo segreti, token, chiavi SSH e codice—il raggio d'azione della compromissione è enorme.
La scansione statica del codice tradizionale è insufficiente per rilevare questi attacchi. Le stesse estensioni frequentemente appaiono legittime o includono codice innocuo insieme a payload nascosti. Ciò che è necessario è un MONITORAGGIO COMPORTAMENTALE IN TEMPO REALE capace di segnalare azioni anomale—come un'estensione del tema che tenta di accedere alle password memorizzate.
MISURE DI SICUREZZA RACCOMANDATE PER SVILUPPATORI E ORGANIZZAZIONI
Per ridurre l'esposizione, le aziende di cybersecurity raccomandano i seguenti passi difensivi:
*
ABILITARE L'AUTENTICAZIONE A DUE FATTORI SU TUTTI GLI ACCOUNT DI SVILUPPO, inclusi GitHub, GitLab, fornitori di cloud e strumenti CI/CD.
*
VERIFICARE L'IDENTITÀ E LA REPUTAZIONE DEGLI EDITORI DI ESTENSIONI prima dell'installazione.
*
EVITARE PLUGIN ANONIMI, POORLY REVIEWED O SCONOSCIUTI—anche se sembrano innocui.
*
ADOTTARE STRUMENTI DI SICUREZZA CHE INCLUDANO DETECTION COMPORTAMENTALE, non solo scansioni statiche.
*
TRATTARE TUTTI GLI STRUMENTI DI SVILUPPO POTENZIATI DALL'IA CON CAUTELA, specialmente quelli che richiedono permessi di sistema elevati.
*
Condurre AUDIT REGOLARI DEGLI AMBIENTI DI SVILUPPO, inclusi sessioni del browser, segreti, token memorizzati ed estensioni installate.
Questo attacco segna un punto di svolta nel crimine informatico rivolto agli sviluppatori.
Colpendo gli stessi strumenti di cui gli sviluppatori si affidano quotidianamente, gli attaccanti ottengono accesso senza precedenti all'ecosistema software globale. I risultati sottolineano l'urgente necessità di una sicurezza più forte della catena di fornitura, di un rigoroso esame delle estensioni e di un monitoraggio comportamentale per difendere i flussi di lavoro di sviluppo più sensibili al mondo.
Translation:
Translated by AI
AI Disclaimer: An advanced artificial intelligence (AI) system generated the content of this page on its own. This innovative technology conducts extensive research from a variety of reliable sources, performs rigorous fact-checking and verification, cleans up and balances biased or manipulated content, and presents a minimal factual summary that is just enough yet essential for you to function as an informed and educated citizen. Please keep in mind, however, that this system is an evolving technology, and as a result, the article may contain accidental inaccuracies or errors. We urge you to help us improve our site by reporting any inaccuracies you find using the "Contact Us" link at the bottom of this page. Your helpful feedback helps us improve our system and deliver more precise content. When you find an article of interest here, please look for the full and extensive coverage of this topic in traditional news sources, as they are written by professional journalists that we try to support, not replace. We appreciate your understanding and assistance.
