La fiducia è l'obiettivo: i nuovi attacchi alla supply chain nell'era dell'IA

      Gli hacker non stanno più davvero forzando l'ingresso. Stanno semplicemente attraversando porte che teniamo aperte per loro.

      La settimana scorsa ha reso evidente il cambiamento. Due campagne hanno dimostrato che le cose di cui i programmatori si fidano di più, il codice open-source e gli strumenti di intelligenza artificiale, sono diventati il modo più semplice per attaccarli.

      1.000 pacchetti avvelenati

      Il primo è un gruppo chiamato TeamPCP. In meno di quattro mesi, ha iniettato codice malevolo in più di 1.000 pacchetti software open-source, secondo CyberScoop. È iniziato con un singolo strumento a febbraio e da allora ha rallentato a malapena.

      Il metodo non è ingegnoso, ed è questo il punto. La maggior parte delle aziende integra automaticamente il codice e raramente verifica che sia sicuro. TeamPCP semplicemente abusa di quella fede cieca. Insieme, i pacchetti avvelenati accumulano circa 500 milioni di download a settimana.

      Le vittime nominate sono un chi è chi: Bitwarden, Red Hat, SAP, PyTorch Lightning, persino GitHub stesso. Eppure il gruppo non sembra inseguire il denaro. I ricercatori dicono che è alla ricerca di caos e notorietà, avendo incassato solo circa 90.000 dollari in estorsione. Una società di sicurezza stima ora una probabilità di circa 1 su 10 che qualsiasi pacchetto installato da un'organizzazione possa innescare un attacco attivo.

      L'IA peggiora la situazione

      L'IA sta gettando benzina sul fuoco. I programmatori erano soliti controllare le loro dipendenze, anche se in modo vago. Ora gli agenti di codifica installano pacchetti da soli, spesso senza alcun controllo umano. “In alcuni casi, praticamente non c'è umano nel loop,” ha detto Feross Aboukhadijeh di Socket a CyberScoop.

      Quegli stessi agenti sono obiettivi, anch'essi. I ricercatori hanno dimostrato che un falso rapporto di bug può dirottare un agente di codifica IA e far eseguire i comandi di un attaccante. I worm auto-propaganti stanno già devastando i registri di codice, e un'estensione editor avvelenata ha recentemente permesso agli attaccanti di rubare migliaia di repository GitHub.

      Anche Claude è diventato un'arma

      La seconda campagna è più subdola. Gli hacker hanno rivolto Claude di Anthropic contro i suoi stessi utenti. Hanno abusato delle “Chat Condivise”, una funzione che consente alle persone di pubblicare link pubblici a conversazioni passate.

      Ecco come ha funzionato. Gli attaccanti hanno inscenato false chat di “Supporto Apple” su claude.ai, dicendo ai programmatori macOS di incollare un comando nel loro Terminale. Poi hanno acquistato annunci su Google per ricerche come “Claude Code su Mac” per inviare le vittime lì. Poiché i link si trovavano sul dominio affidabile di Claude, sembravano sicuri.

      Trend Micro ha contato più di 2.000 vittime, la maggior parte nella regione Asia-Pacifico. Anthropic ha successivamente bandito gli account e disabilitato le conversazioni.

      Perché è importante

      Il filo che lega tutto questo è la fiducia. Gli attaccanti non hanno più bisogno di un exploit ingegnoso. Hanno solo bisogno di qualcosa in cui già credi: un registro di pacchetti, un agente di codifica, un dominio familiare. Come ha detto un bollettino del settore, “legittimo” non è lo stesso di “sicuro”.

      Per l'industria, si tratta di un reset scomodo. Significa osservare gli strumenti di cui le persone si fidano, non solo i file che scaricano. Significa trattare l'installazione di un pacchetto come l'esecuzione di codice e un agente IA come un account utente. Il web non si è rotto questa settimana. È stato semplicemente utilizzato esattamente come progettato, il che potrebbe essere il problema più difficile da risolvere.