Sabato 04 Luglio 2026 22:02:49 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Malware e botnet

La fiducia nei pacchetti sotto assedio: l'ultima mossa di Miasma attraversa npm, GitHub Actions e Go

Pubblicato: 26 Giugno 2026 17:38Categoria: Malware e botnetAutore: SIGNALMONK

L'ultima attività della supply chain legata a Miasma mostra come un singolo rilascio avvelenato possa mettere sotto pressione più livelli di fiducia contemporaneamente, dai registri dei pacchetti all'automazione delle build.

La parte più inquietante di questa campagna non è solo il malware in sé, ma il luogo in cui cerca di insediarsi: all'interno dei sistemi di cui gli sviluppatori si fidano per compilare e distribuire il codice. In questo caso, i ricercatori hanno seguito attività legate alla famiglia di malware Miasma che hanno coinvolto pacchetti npm, hanno abusato dei workflow di GitHub Actions e, secondo quanto riportato, sono arrivate fino all'ecosistema Go.

Dati rapidi

  • Sono stati segnalati rilasci npm malevoli per i pacchetti LeoPlatform e RStreams.
  • I workflow di GitHub Actions sono stati abusati nell'ambito della campagna.
  • L'attività, secondo quanto riportato, si è propagata nell'ecosistema Go.
  • Il caso rientra in un modello di supply chain, in cui i percorsi fidati di build e rilascio diventano il bersaglio.
  • Il percorso completo della compromissione e la portata totale restano poco chiari pubblicamente.

Quando il sistema di build diventa il campo di battaglia

Il malware della supply chain è pericoloso perché non ha bisogno di entrare in ogni singolo bersaglio uno per uno. Se un attaccante riesce a influenzare il rilascio di un pacchetto o l'automazione che lo circonda, può raggiungere molti sviluppatori a valle attraverso normali aggiornamenti delle dipendenze. Ecco perché il comportamento in fase di installazione di npm, i permessi CI/CD e i controlli di fiducia sui registri sono così importanti.

GitHub Actions si colloca proprio in quella catena di fiducia. L'abuso dei workflow può essere rilevante anche quando il codice in un repository sembra pulito, perché il livello di automazione può avere accesso a credenziali di pubblicazione, artefatti firmati o fasi di distribuzione. Dal punto di vista difensivo, questo trasforma la revisione dei workflow in un controllo di sicurezza, non in un semplice compito di manutenzione.

L'angolo legato a Go è particolarmente importante perché suggerisce che l'attività non sta rimanendo all'interno di una sola comunità linguistica. Il sistema dei moduli Go utilizza la verifica dei checksum e il file go.sum per aiutare a rilevare manomissioni, alzando l'asticella sia per gli attaccanti sia per i difensori. Ma questi controlli non eliminano il rischio se un account di pubblicazione, un workflow di rilascio o un percorso di distribuzione interno è già sotto pressione.

Ciò che non è ancora stato accertato è altrettanto importante. Le informazioni disponibili pubblicamente non confermano in modo completo la catena esatta della compromissione, se siano stati sottratti segreti o in che modo sia stato raggiunto l'ecosistema Go. Le prove disponibili supportano un'analisi del rischio, non un'affermazione definitiva secondo cui ogni progetto o maintainer coinvolto sia stato compromesso nello stesso modo.

Perché conta per gli sviluppatori

La lezione non è semplicemente “scansionare meglio i pacchetti”. È che la delivery software moderna è uno stack di decisioni di fiducia: identità del registro, permessi dei workflow, automazione dei rilasci e verifica dei moduli. Se uno qualsiasi di questi livelli è troppo permissivo, un rilascio malevolo può sembrare normale abbastanza a lungo da diffondersi.

I difensori dovrebbero trattare la pubblicazione dei pacchetti come un'operazione ad alto rischio, limitare i segreti dei workflow e mantenere attivi, ove possibile, i controlli di provenienza e integrità. Per i progetti Go, la verifica dei checksum resta un efficace meccanismo di sicurezza di ultima istanza. Per gli ecosistemi npm, la pubblicazione fidata e una gestione prudente degli script di installazione possono ridurre l'esposizione, ma solo se la pipeline di rilascio è strettamente controllata.

Conclusione

L'ultima comparsa di Miasma ricorda che gli attacchi alla supply chain del software sono in realtà attacchi alla fiducia. Il codice è solo una parte del puzzle. Il vero bersaglio è il meccanismo che fa apparire il software sicuro, ordinario e pronto per essere distribuito. Mettere in sicurezza quel meccanismo, altrimenti il prossimo pacchetto malevolo potrebbe arrivare indossando il distintivo di una build fidata.

TECHCROOK

Hardware security key: Un modo semplice per aggiungere una forte autenticazione a due fattori agli account di sviluppatori, registri e cloud. È particolarmente utile per proteggere gli accessi di pubblicazione, workflow e amministrazione.

Scheda Techcrook: Hardware security key

WIKICROOK

  • Attacco alla supply chain: Un attacco che prende di mira la distribuzione del software o i percorsi di build per raggiungere gli utenti a valle.
  • Pacchetto npm: Un pacchetto software JavaScript pubblicato tramite il registro npm.
  • GitHub Actions: Il sistema di automazione di GitHub per compilare, testare e distribuire il codice.
  • Go checksum database: Un sistema di verifica che aiuta a confermare l'integrità dei moduli Go.
  • Abuso dei workflow: Uso improprio delle pipeline di automazione per pubblicare, modificare o spostare software in modi non autorizzati.