Non hanno fatto irruzione nei server di GitHub. Hanno avvelenato un’estensione di VS Code. Un dipendente l’ha installata. E gli attaccanti sono entrati dalla porta principale usando le credenziali di quell’impiegato.
Sì, avete letto bene.
Il gruppo si fa chiamare TeamPCP. Battezzano i loro malware con i nomi dei vermi della sabbia di Dune. E stanno orchestrando quella che gli esperti di cybersecurity definiscono la campagna di supply chain attack più sofisticata della storia.
Come hanno avvelenato l’intera filiera del software
Marzo. Prendono di mira Trivy. Uno degli scanner di sicurezza più fidati al mondo — usato in oltre 10.000 workflow di sviluppo a livello globale.
Iniettano malware che ruba credenziali direttamente nella GitHub Action ufficiale di Trivy. Il malware si esegue in silenzio PRIMA della scansione di sicurezza. Quindi ogni log mostra ‘scan completed successfully’. Mentre in background il malware sta rubando chiavi AWS, credenziali SSH, password di database e token Kubernetes.
Aqua Security ci ha messo 5 giorni per rimuoverli completamente.
Con le credenziali rubate, bucano Cisco Systems. Clonano oltre 300 repository privati. Incluso codice sorgente di prodotti AI non ancora rilasciati. E repository appartenenti ai clienti di Cisco: grandi banche, agenzie governative, aziende BPO.
L’effetto domino: da uno scanner compromesso a un password manager infetto
Aprile. Colpiscono Checkmarx, un altro vendor di sicurezza. Avvelenano 5 immagini Docker ufficiali in 83 minuti — quella cifra che fa venire i brividi. Lo scanner funzionava perfettamente. Solo che mandava silenziosamente tutti i vostri segreti agli attaccanti.
E qui arriva la parte peggiore.
Questo si propaga automaticamente a Bitwarden. Il password manager. Il loro sistema CI/CD scarica l’immagine Docker avvelenata. E gli attaccanti iniettano malware nel pacchetto CLI ufficiale di Bitwarden pubblicato su npm.
Uno scanner di sicurezza compromesso ha avvelenato un password manager. Automaticamente. Senza intervento umano.
Quando le firme crittografiche valide non significano più nulla
Maggio. Attaccano TanStack. Librerie scaricate milioni di volte a settimana. 84 versioni di pacchetti malevoli distribuite su 42 package diversi.
E qui c’è la parte che toglie il sonno.
Il malware ha scansionato la memoria raw dei build server di GitHub. Estratto token di autenticazione. Usato quei token per bypassare l’autenticazione a due fattori. E poi pubblicato i pacchetti infetti con firme crittografiche completamente valide.
Ogni strumento di verifica di sicurezza al mondo diceva che i pacchetti erano legittimi. Perché erano firmati dalla pipeline reale. Con chiavi reali. Gli attaccanti erano semplicemente dentro la pipeline quando firmava.
Hanno sconfitto l’intero modello di trust delle supply chain software moderne.
Nella stessa settimana colpiscono l’estensione Nx Console per VS Code. 2,2 milioni di installazioni. Il malware prendeva di mira specificamente le configurazioni di Claude Code — a caccia di credenziali degli assistenti AI.
Questa è una prima volta. Malware da supply chain progettato per rubare le chiavi di accesso della vostra AI.
4.000 repository in vendita. O leak gratuito
19 maggio. Rivelano il breach di GitHub. 4.000 repository interni. Messi in vendita a 50.000 dollari. Con un avvertimento: ‘Se nessuno li compra, facciamo leak di tutto gratis’.
Il loro malware è autopropagante. Una volta che infetta un pacchetto, trova automaticamente ogni altro pacchetto che quel developer mantiene. Ruba i token di pubblicazione. E li infetta tutti. Poi quei pacchetti infettano il prossimo developer. E il successivo.
Salta tra npm e PyPI automaticamente. Come un verme che cambia ecosistema senza nemmeno rallentare.
Il vero problema: abbiamo ciecamente fiducia nei nostri stessi strumenti
Il gruppo non fa nemmeno l’estorsione direttamente. Vendono le credenziali rubate a gang di ransomware. Una gang ha usato i dati di TeamPCP per minacciare Cisco di fare leak di registri del personale FBI e NASA.
E la parte che spaventa di più?
Non hanno rotto nessuna crittografia. Non hanno trovato nessuno zero-day. Hanno sfruttato il fatto che l’intera industria del software si fida ciecamente dei propri build tool.
Ogni security scanner. Ogni immagine Docker. Ogni estensione VS Code. Ogni GitHub Action. È un’arma potenziale se qualcuno la avvelena a monte.
E adesso? Nessuno può distinguere tra una build legittima e una compromessa. Perché anche quelle compromesse hanno firme valide.
GitHub ha confermato il 20 maggio: ‘Stiamo investigando accessi non autorizzati ai repository interni di GitHub’. Mentre dichiarano di non avere prove di impatto sui dati dei clienti al di fuori dei repository interni, l’indagine è in corso.
La domanda che nessuno vuole fare è: quante altre estensioni, action e immagini Docker sono già compromesse? E come diavolo facciamo a saperlo, se quelle infette hanno le stesse identiche firme di quelle pulite?
Benvenuti nell’era in cui la firma crittografica valida non significa più ‘sicuro’. Significa solo ‘firmato’. Magari mentre l’attaccante era seduto dentro la vostra pipeline.
