La sicurezza del software open source è di nuovo sotto attacco. Questa volta è CrowdStrike, uno dei player più noti nel campo della cybersecurity, a finire nel mirino di un’operazione sofisticata che sfrutta le vulnerabilità della supply chain. L’attacco, che porta la firma della campagna nota come “Shai-Halud”, ha compromesso diversi pacchetti npm pubblicati dall’azienda, riutilizzando lo stesso malware già impiegato contro il popolare pacchetto tinycolor.
La vicenda conferma un pattern inquietante: gli aggressori non stanno solo prendendo di mira progetti singoli, ma interi ecosistemi, sfruttando la fiducia implicita che gli sviluppatori ripongono in repository pubblici come npm: ovviamente sfruttandone il contenuto senza fare niente per contribuire a mantenerlo in vita e sicuro. Il fatto che un’azienda specializzata in sicurezza come CrowdStrike sia stata violata rende il tutto ancora più significativo.
L’attacco è partito dall’account npm crowdstrike-publisher e ha coinvolto numerosi package, incluse versioni specifiche di @crowdstrike/commitlint, @crowdstrike/glide-core, @crowdstrike/logscale-dashboard ed eslint-config-crowdstrike. Il codice malevolo è stato inserito in uno script denominato bundle.js, che una volta eseguito dà il via a una sequenza multistadio progettata per rubare credenziali e stabilire una persistenza negli ambienti vittima.
La tecnica è subdola: il malware utilizza TruffleHog, uno strumento open source legittimo e rispettato, per scansionare il sistema alla ricerca di segreti e credenziali. Questo approccio permette agli attacker di camuffare le proprie intenzioni, evitando di sollevare sospetti mentre setacciano l’host in cerca di token API, chiavi di cloud e altri asset sensibili.
Una volta identificati, i secret vengono validati per verificarne l’effettiva utilità. Il malware procede quindi a creare workflow non autorizzati in GitHub Actions all’interno di repository compromessi, garantendo agli attacker un accesso duraturo e la possibilità di automatizzare attività malevole successive. Tutti i dati exfiltrati vengono inviati a un endpoint webhook controllato dagli aggressori.
La risposta di npm è stata rapida: i package compromessi sono stati rimossi dal registry. Tuttavia, il vero lavoro di containment ricade ora sulle organizzazioni e sugli sviluppatori che potrebbero aver integrato quelle dipendenze nei loro progetti. CrowdStrike ha dichiarato di aver rimosso i package malevoli e di aver ruotato le chiavi nei registry pubblici, specificando che il Falcon sensor e la piattaforma non sono impattati dall’incidente.
Ma il problema supply chain rimane aperto. Questo incidente è l’ultimo di una serie che evidenzia come la fiducia negli ecosistemi open source possa essere strumentalizzata per colpire anche target di alto profilo. La sofisticazione dell’attacco—con l’uso di tool legittimi e la capacità di insediarsi in pipeline CI/CD—suggerisce che gli attacker stanno affinando le loro tecniche per massimizzare il danno e l’accesso.
Per le aziende, il messaggio è chiaro: è necessario un audit immediato di ambienti di sviluppo, pipeline CI/CD e sistemi dove i package npm di CrowdStrike potrebbero essere stati installati. La rotazione delle credenziali esposte e il monitoring continuo delle attività sospette sono passi obbligati.
In un mondo sempre più dipendente dal software open source, la sicurezza della supply chain non è più un optional. È una responsabilità collettiva che richiede vigilanza, strumenti di analisi proattiva e una cultura della sicurezza che parta dal codice fino al deployment. Forse è il caso di iniziare a distribuire qualche investimento anche in tutto ciò che si sfrutta gratis?