Aggiornamenti recenti Dicembre 5th, 2025 4:48 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Iniezione indiretta di prompt: a rischio le informazioni aziendali
- Dark Telegram in ritirata: aumentano le chiusure dei canali clandestini
- PickleScan, scoperti tre bug 0-day che permettono di iniettare payload malevoli nei modelli ML
- ShadyPanda: oltre 4 milioni di browser infetti in una campagna durata 7 anni
- Coupang conferma il data breach: esposti i dati di oltre 30 milioni di utenti
Il malware arriva nelle librerie di sviluppo Ruby
L’attacco ha sfruttato i pacchetti di sviluppo del linguaggio di programmazione open source per diffondersi. Obiettivo: rubare Bitcoin.
Un complicato attacco supply chain che ha permesso di diffondere con straordinaria efficacia un malware che ha come obiettivo il furto di Bitcoin. È questa, in sintesi, l’operazione individuata da ReversingLabs, illustrata in un report pubblicato lo scorso 16 aprile.
A finire nel mirino dei pirati, spiega l’autore del rapporto Tomislav Maljic, è Ruby, un linguaggio di programmazione open source piuttosto popolare.
Nel dettaglio, i cyber-criminali hanno sfruttato come vettore di attacco RubyGems, un pacchetto software dedicato agli sviluppatori che usano Ruby e che mette a disposizione degli utenti un repository con le “gemme”, cioè componenti software (sono circa 158.000) che possono essere utilizzati liberamente.
La tecnica utilizzata dai pirati è stata piuttosto banale: si sono affidati cioè alla tattica del typo-squatting, la pubblicazione di file con nomi simili a librerie molto popolari che, in questo modo, vengono scaricate dagli utenti.
L’operazione è stata porta avanti attraverso due account controllati dai pirati che hanno portato al download di migliaia di componenti infetti all’interno del repository.
L’attacco portato dai pirati, però, potrebbe non avere una grande efficacia. Lo schema di attacco, per funzionare, richiede infatti che quella specifica libreria infetta sia scaricata da uno sviluppatore che lavora in ambiente Windows.
Non solo: il codice malevolo inserito nelle librerie, che viene avviato attraverso una complessa catena di operazione che consentono di eseguire il malware senza alcuna interazione da parte dell’utente, prevede semplicemente l’accesso ai dati contenuti nella clipboard e la loro sostituzione con un indirizzo di un wallet Bitcoin controllato dai pirati.
In altre parole: il payload finale prevede, per essere efficace, che la vittima stia eseguendo una transazione in Bitcoin che può essere alterata dall’attacco. Quello che gli anglosassoni definirebbero un “long shot” e che, francamente, ha ben poche possibilità di andare a segno.
La vicenda, però, riaccende i riflettori sui rischi legati agli attacchi supply chain, soprattutto quando coinvolgono le filiere di sviluppo software. Per capirne la caratura, è sufficiente considerare che RubyGem, secondo quanto viene riportato sul sito, può vantare 49 miliardi di download.
Insomma: il tema degli attacchi supply chain è più attuale che mai e rappresenta un fattore di rischio enorme a livello globale.
Condividi l'articolo
Clamoroso zero-day permette di attaccare iOS attraverso Mail
Nuova campagna di truffe per i buoni spesa gratuiti
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Iniezione indiretta di prompt: a rischio le informazioni... Lakera, società di Check Point, ha pubblicato una ricerca... -
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Dark Telegram in ritirata: aumentano le chiusure dei canali... Dark Telegram, il regno dei canali clandestini, non sembra... -
PickleScan, scoperti tre bug 0-day che permettono di... I ricercatori di JFrog Security Research hanno... -
ShadyPanda: oltre 4 milioni di browser infetti in una... Una campagna durata sette anni che ha infettato 4.3... -
Coupang conferma il data breach: esposti i dati di oltre 30... Coupang, colosso del retail sud-coreano, ha confermato di... -
CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi... Nel periodo compreso tra il 22 e il 28 novembre,...
Ransomware: la serie
No posts found.