ADSENSE
|
Questo post é stato letto 120 volte!
Nuovo allarme sicurezza: pacchetti microsoft infetti
Nei primi giorni di giugno 2026 è emerso un grave incidente di sicurezza che ha coinvolto 73 pacchetti Microsoft, trasformati in vettori di distribuzione di malware specializzato nel furto di credenziali.
Questo episodio rappresenta uno dei casi più seri dell’anno per la supply chain del software, poiché il codice compromesso era firmato, verificato crittograficamente e distribuito attraverso canali ritenuti affidabili.
La gravità della situazione è accentuata dal fatto che si tratta del secondo attacco riuscito contro asset open source di Microsoft in poche settimane, dopo la compromissione del framework Durable Task scoperta a maggio.
La sicurezza microsoft pacchetti infetti è ora una priorità assoluta per gli sviluppatori e le aziende.
Violazione dei repository e operatività di miasma
Gli aggressori hanno ottenuto credenziali legittime, utilizzate per pubblicare aggiornamenti software, distribuendo versioni modificate dei pacchetti contenenti un payload malevolo di circa 28 KB.
Il software appariva autentico, proveniva da repository ufficiali e superava le verifiche di provenienza normalmente impiegate dagli sviluppatori.
GitHub ha inizialmente bloccato i repository per violazione dei termini di servizio; solo successivamente Microsoft ha confermato la presenza di contenuti malevoli e rimosso temporaneamente diversi progetti.
Il codice dannoso è stato identificato come Miasma, una variante evoluta del toolkit Mini Shai-Hulud, associato al gruppo TeamPCP.
Questo malware raccoglie credenziali da account AWS, Azure, Google Cloud Platform, configurazioni Kubernetes, password manager e oltre novanta strumenti di sviluppo, propagandosi poi lateralmente nelle infrastrutture cloud.
Gli operatori della campagna hanno anche preso di mira i token OIDC utilizzati nei processi di attestazione della provenienza del software, riuscendo a pubblicare codice apparentemente affidabile senza violare direttamente le infrastrutture di GitHub.
Gli agenti AI come nuova superficie di attacco
Uno degli aspetti più cruciali di questa operazione riguarda il ruolo degli assistenti di programmazione basati sull’intelligenza artificiale.
Il malware era progettato per attivarsi quando il codice veniva aperto o elaborato da agenti AI con accesso a file locali, repository Git, terminali e credenziali di sviluppo.
Tra gli ambienti colpiti figurano Claude Code, Gemini CLI, Cursor e Visual Studio Code.
La crescente integrazione tra modelli linguistici e strumenti operativi sulle workstation degli sviluppatori apre scenari inediti: un pacchetto compromesso può diventare un punto d’ingresso verso segreti aziendali e chiavi API senza richiedere tecniche di attacco sofisticate.
Rilevamento e mitigazione delle minacce
Miasma genera inoltre payload cifrati differenti per ogni infezione, rendendo inefficaci gli indicatori basati sugli hash dei file e ostacolando il rilevamento da parte delle piattaforme di sicurezza che si affidano a firme statiche.
Le organizzazioni che hanno utilizzato uno dei 73 pacchetti coinvolti dovrebbero verificare immediatamente gli account di sviluppo, ruotare chiavi e token esposti, e analizzare i log delle attività cloud.
La vicenda dimostra che firme digitali e attestazioni di provenienza non sono sufficienti quando gli aggressori riescono a ottenere credenziali legittime.
Con la diffusione degli agenti AI nei flussi di sviluppo, proteggere gli account privilegiati e i sistemi di pubblicazione software diventa una priorità critica per l’intera industria.
Questo post é stato letto 120 volte!