La lezione di stamattina è brutta e semplice: onboarding fidato, package manager fidati e marketplace di estensioni fidati stanno diventando meccanismi di consegna per gli attaccanti.
In breve: Tre storie contano ora: contenuti controllati dagli attaccanti dentro vere email Robinhood, una release open source falsificata che ruba segreti ed estensioni VS Code progettate per svegliarsi più tardi.
Gli attaccanti hanno abusato del processo di creazione account di Robinhood per iniettare HTML in vere email di avviso login inviate da noreply@robinhood.com. I messaggi superavano SPF e DKIM, sembravano legittimi e spingevano le vittime verso un sito di phishing. La conclusione è netta: fidarsi del mittente non basta se il contenuto non viene sanificato.
Il popolare pacchetto elementary-data è stato compromesso tramite script injection in GitHub Actions. Questo ha esposto un token di workflow e ha permesso di forgiare una release firmata. La versione 0.23.3 ha distribuito un infostealer mirato a chiavi SSH, credenziali cloud, segreti CI, file wallet e dati dell’ambiente sviluppatore, con lo stesso impatto esteso alle immagini container.
Socket ha trovato 73 estensioni OpenVSX collegate a GlassWorm, con sei già attivate. Il nuovo trucco è la pazienza: pubblicare qualcosa di innocuo, lasciare crescere la fiducia e consegnare il payload solo in un aggiornamento successivo. È lo stesso abuso dell’ecosistema, solo più silenzioso e più sporco.
In sintesi: Il pattern di oggi non è malware esotico. È fiducia ordinaria trasformata in trasporto. Se un workflow, un template o un marketplace sembrano routine, gli attaccanti li hanno già notati.
KENSAI aiuta i team a mappare workflow esposti, dipendenze rischiose e punti ciechi della superficie developer prima che diventino incidenti reali.
Avvia scansione gratuita →Restate affilati.
🗡️ Team Sicurezza KENSAI