Sandro Sana : 18 Luglio 2025 22:22
Nel mondo della cybersecurity siamo abituati a dare la caccia ai mostri: APT, 0-day, malware super avanzati, ransomware con countdown da film di Hollywood. Ma intanto, nei corridoi silenziosi del codice sorgente, si consumano le vere tragedie. Silenziose, costanti, banali. Repository Git pieni zeppi di credenziali, token, chiavi API e variabili di ambiente spiattellate come fosse la bacheca dell’oratorio.
La notizia la riporta The Hacker News: una nuova campagna di attacchi, soprannominata “The Unusual Suspect”, sfrutta repository Git pubblici e privati per accedere ad ambienti cloud, pipeline CI/CD e database interni, con una facilità che fa più paura di un exploit zero-click. Non c’è magia nera. Non c’è necessità di brute force o social engineering. Serve solo un po’ di pazienza, un motore di ricerca, e… la dabbenaggine di chi commit(a) i segreti senza pensarci due volte.
L’attacco si basa su una verità semplice, ma devastante: i repository Git sono ormai il centro di gravità permanente del software moderno. Contengono tutto. Codice, configurazioni, log, cronjob, script bash di provisioning, playbook Ansible. E in mezzo a tutta questa roba, spesso ci scappano – anzi, ci cascano – anche file .env, chiavi SSH, config.yml con hardcoded credentials e token OAuth lasciati lì “per fare prima”.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli attaccanti lo sanno bene. E lo sfruttano. Con tool automatizzati che scandagliano milioni di repo alla ricerca di stringhe sospette, API key note, access token e pattern classici (AKIA..., ghp_..., eyJhbGciOi...). Appena trovano l’ingresso, entrano. E non bussano.
tj-actions/changed-files: 23.000 repo esposti, nessuna pietàA marzo 2025 esplode uno dei casi più eclatanti dell’anno. Una GitHub Action molto usata — tj-actions/changed-files — viene modificata da un attaccante che ha trafugato un GitHub PAT. La nuova versione? Una trappola perfetta: stampa nei log tutte le secrets disponibili nel runner CI/CD. Tutte. E quei log, tanto per gradire, sono pubblici.
Risultato? Migliaia di repository, aziende e sviluppatori si sono ritrovati con le mutande digitali abbassate in piazza. Le loro chiavi AWS, token GCP, PAT GitHub, chiavi Stripe o Twilio… tutte lì, nei log. A disposizione di chiunque sapesse cosa cercare. E gli attaccanti hanno cercato. Eccome se hanno cercato.
L’obiettivo? Non tanto la Action in sé, ma i progetti target che ne facevano uso. Come coinbase/agentkit. Sì, proprio Coinbase. Non stiamo parlando della startup sotto casa.
La cosa che fa più rabbia non è l’attacco in sé, ma quanto fosse evitabile. Bastava usare l’hash del commit anziché il tag v4. Bastava fare secret scanning prima del push. Bastava configurare correttamente i permessi delle GitHub Actions. Ma no. Il Dev scrive, commit(a), push(a) e via andare. “Ci penserà qualcun altro a fare la security”. Ecco, news flash: quel qualcun altro non c’è. E quando l’attacco arriva, è sempre troppo tardi.
Qui non serve un patch di sicurezza. Serve una riscrittura del DNA operativo. I repo vanno trattati come asset critici. Le pipeline come potenziali vettori d’attacco. I file .env devono sparire dai commit come le password scritte sui post-it. E i dev devono capire che non sono solo coder, ma i primi difensori dell’infrastruttura.
La vera bomba di questi attacchi non è solo l’ingresso iniziale. È ciò che succede dopo. Perché attraverso la CI/CD, l’attaccante può fare praticamente tutto: modificare gli artefatti, inserire backdoor, distribuire payload nei container, creare persistenza nei Lambda, oppure fare exfiltration tranquillo via S3. Tutto questo passando per runner CI pubblici, spesso non monitorati, senza EDR, senza SIEM, e con più privilegi di quanto dovrebbe avere un pentester col cappello bianco.
Se lasci il cancello della pipeline aperto, l’attacco è solo una questione di tempo.
In questo momento, ci sono migliaia di repository Git con chiavi valide committate. Alcune da sviluppatori freelance che non hanno idea del rischio. Altre da aziende grandi, blasonate, piene di certificazioni ISO e badge SOC2 sul sito. Tutti convinti che “tanto chi vuoi che ci guardi?”. Ma gli attaccanti guardano. E guardano molto più in profondità di quanto crediate.
Questa non è paranoia. È cronaca. E se non iniziamo a trattare i repository come asset strategici, finiranno per essere l’anello debole che ci farà crollare addosso tutta l’impalcatura.
Questa storia ci insegna una cosa: la sicurezza moderna non ha bisogno di eroi, ma di disciplina. Di processi. Di controlli. Di cultura. Perché oggi, più che mai, un semplice git push può diventare l’inizio della fine.
Il nemico non bussa più alla porta. Passa dal repository.
Sandro SanaNegli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...
Un nuovo annuncio pubblicato su un forum underground è stato rilevato poco fa dai ricercatori del laboratorio di intelligence sulle minacce di Dark Lab e mostra chiaramente quanto sia ancora attivo e...
