Ogni tanto la cybersecurity smette di essere un webinar con slide blu e diventa una scena molto più terra terra: un dipendente, un editor di codice, un’estensione avvelenata e improvvisamente 3.800 repository interni di GitHub finiscono nel catalogo mentale del cybercrimine. La supply chain software, insomma, continua a comportarsi come una torre Jenga costruita durante una call.
Secondo TechCrunch, GitHub — piattaforma di sviluppo di proprietà Microsoft, cioè il posto dove mezzo mondo tiene codice, problemi, pull request e ansie in formato Markdown — ha confermato di aver rilevato e contenuto una compromissione legata a un dispositivo di un dipendente. Il vettore: una estensione VS Code “poisoned”, cioè un plugin infetto per l’editor che molti sviluppatori aprono più spesso del frigorifero.
GitHub ha scritto di non avere, al momento, prove di impatto sui dati dei clienti fuori dai repository interni dell’azienda. Che è la frase rassicurante standard: tecnicamente utile, emotivamente simile a “non sembra stia bruciando tutta la casa, solo una stanza importante”. L’indagine è ancora in corso e la società dice di monitorare l’infrastruttura per attività successive.
The Hacker News aggiunge il dettaglio più piccante: il gruppo TeamPCP avrebbe messo in vendita il materiale su un forum cybercriminale, parlando di circa 4.000 repository e chiedendo almeno 50.000 dollari. GitHub, da parte sua, ha definito “directionally consistent” il numero di circa 3.800 repository rivendicato dagli attaccanti. Traduzione dal corporate all’umano: non stiamo confermando ogni virgola, ma la botta più o meno è quella.
La parte veramente moderna della storia non è “hanno bucato GitHub”. È come. Non una scena da film con firewall verdi, tastiere infuocate e hacker che digitano “ACCESS GRANTED”. Più banalmente: un’estensione per sviluppatori può diventare il cavallo di Troia perfetto. Perché lo sviluppatore è il nuovo amministratore di sistema involontario: installa tool, prova pacchetti, copia comandi, testa librerie. Tutto per lavorare più veloce. E proprio lì si infila il malware, con la grazia di un collega che dice “ti giro solo un link”.
Il caso rientra in un’ondata più ampia di attacchi alla software supply chain: colpire strumenti, pacchetti, plugin e account usati dagli sviluppatori per arrivare a segreti, token, credenziali e codice. Non serve svaligiare ogni azienda una per una se puoi compromettere ciò che quelle aziende installano, importano o eseguono fidandosi. È il capitalismo delle dipendenze: abbiamo costruito software sopra software sopra software e ora ogni mattoncino ha una password, una maintainer page e un potenziale giorno pessimo.
The Hacker News collega la vicenda anche ad altri episodi recenti attribuiti o collegati allo stesso ecosistema di attaccanti, tra pacchetti avvelenati, token rubati e campagne auto-propaganti. La parola chiave qui è segreti: API key, credenziali, token di pubblicazione. Il tipo di cose che in teoria non dovrebbero mai finire dove possono essere rubate, e che in pratica finiscono spesso in repository, log, configurazioni, script “temporanei” e altri monumenti alla frase “poi lo sistemo”.
Il punto non è fare panico da tastiera. Se GitHub dice che non risultano dati clienti rubati fuori dai repo interni, quella distinzione conta. Però conta anche il segnale: perfino l’infrastruttura simbolo dello sviluppo software può essere colpita dal lato più umano e meno glamour della catena. Non “GitHub è finita”, ma “nessuno è troppo grande per inciampare in un’estensione”.
Per gli sviluppatori, il promemoria è noioso e quindi probabilmente vero: ridurre le estensioni inutili, controllare publisher e permessi, ruotare token, usare secret scanning, evitare credenziali lunghe una vita geologica, separare ambienti e pretendere che i tool di sviluppo siano trattati come superficie d’attacco, non come arredamento. Per le aziende, invece, il messaggio è ancora più antipatico: se la sicurezza dipende dal fatto che nessuno installi mai la cosa sbagliata alle 18:47, non è sicurezza. È ottimismo con budget.
La morale, purtroppo, è molto 2026: il futuro del software non viene hackerato solo entrando dalla porta principale. A volte passa dal marketplace delle estensioni, mette un’icona carina, promette produttività e poi si porta via i repository. Minimalismo criminale. DevOps, ma con passamontagna.
Fonti:
Commenti (0)
Moderazione umana, firma anonima accettata. Per favore, niente insulti né maiuscole compulsive.
Ancora nessun commento.