Sandro Sana : 8 Aprile 2024 09:23
Una backdoor è una funzionalità nascosta in un software che permette a un attaccante di accedere a un sistema o a una rete senza essere rilevato. Spesso le backdoor sono inserite dagli stessi sviluppatori del software, per scopi di manutenzione o di test, ma possono anche essere introdotte da hacker che compromettono il codice sorgente o i processi di distribuzione.
Jia Tang è uno pseudonimo utilizzato da un individuo che ha introdotto una backdoor nel software di compressione dati XZ Utils, ampiamente utilizzato in sistemi operativi Linux. Questa backdoor è stata scoperta il 29 marzo 2024. Jia Tang era attivo su GitHub con il nome utente ‘JiaT75’ e ha inviato patch e richieste di pull a vari progetti open source prima che venisse scoperta la backdoor.
Secondo gli esperti di sicurezza informatica, dietro lo pseudonimo Jia Tang non c’è un singolo hacker, ma un intero gruppo, presumibilmente supportato da uno stato. Gli aggressori hanno utilizzato una strategia di infiltrazione a lungo termine in progetti open source, mirando a ottenere il controllo di software critici per il funzionamento di molti sistemi operativi e applicazioni.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Per più di un anno, gli hacker si sono preparati per questo attacco, assicurandosi che nessuno notasse nulla. Tuttavia, per qualche fortunata coincidenza, la backdoor è stata rilevata prima di riuscire a causare danni tangibili.
Nonostante ci siano state speculazioni sulla sua identità e residenza, non è stato possibile determinare con certezza queste informazioni a causa dell’uso di servizi VPN e altre tecniche di anonimato. La situazione ha sollevato discussioni significative sulla sicurezza del software open source e sulle misure di prevenzione per tali attacchi
Jia Tang ha iniziato le sue operazioni su GitHub nel novembre 2021, offrendo modifiche a uno dei prodotti open source. Negli anni successivi, lo sviluppatore è riuscito a intercettare in gran parte il controllo del progetto XZ Utils, sostituendo il mantainer originale, Lasse Collin. Ciò è stato possibile grazie alle lamentele di alcuni utenti riguardo al lento aggiornamento del progetto, i cui motivi rimangono poco chiari.
Jia Tang ha approfittato della situazione per proporre le sue patch, che contenevano la backdoor, e convincere gli altri collaboratori ad accettarle. La backdoor consisteva in una funzione che, se attivata da un comando specifico, avrebbe permesso a un attaccante remoto di eseguire codice arbitrario sul sistema bersaglio.
Kostin Rayu, ex ricercatore capo di Kaspersky Lab, suggerisce che Jia Tang è un gruppo sponsorizzato da un certo stato, interessato a condurre operazioni di spionaggio o sabotaggio informatico. Nonostante lo pseudonimo cinese dell’hacker, Rayu ritiene che sia troppo presto per fare ipotesi comprovate sul paese coinvolto, poiché l’uso di uno pseudonimo cinese potrebbe essere un tentativo deliberato di confondere le indagini.
In ogni caso, la scoperta della backdoor in XZ Utils solleva seri dubbi sulla sicurezza dei software open source, che sono spesso considerati più affidabili e trasparenti di quelli proprietari, ma che possono essere vulnerabili a manipolazioni nascoste da parte di attori malevoli.
Tuttavia, una cosa è chiara, secondo il parere di Rayu, questo è stato uno degli attacchi più sofisticati di tutti quelli precedenti alle catene di approvvigionamento software che il ricercatore aveva visto. L’indagine ha rivelato un livello eccezionalmente elevato di sicurezza operativa di Jia Tang, incluso l’utilizzo di una VPN con un indirizzo IP di Singapore e l’assenza di altre impronte su Internet. Questo approccio sottolinea la serietà delle sue intenzioni, così come l’assunto che questo nome sia un’identità fittizia. Dalla scoperta della backdoor in XZ Utils, Jia Tang è scomparsa senza lasciare traccia, e il suo account GitHub è stato bloccato.
È stato riferito che Jia Tang ha apportato circa 6.000 modifiche al codice di almeno sette progetti diversi tra il 2021 e il febbraio 2024. Determinare tutte le conseguenze di questi numerosi cambiamenti sembra quasi impossibile per gli esperti, poiché nel caso dell’XZ Utils, il codice maligno è stato così fortemente offuscato che è stato scoperto solo per un caso fortuito. Chissà quanti altri prodotti open source sono stati influenzati dall’intervento di Jia Tang e da altri hacker sponsorizzati dallo stato che hanno fissato un chiaro obiettivo di compromettere le catene di approvvigionamento. Probabilmente, su GitHub, esistono ancora almeno alcuni profili simili, in cui gli hacker insidiosi operano con il pretesto di buoni sviluppatori, ma è improbabile che gli specialisti identifichino rapidamente tutti questi profili, se ci riescono.
Proprio ieri, abbiamo segnalato uno scanner di file binari online gratuito sviluppato da Binarly, che è in grado di rilevare i file Linux infettati dalla backdoor in XZ Utils. Questo strumento può essere utile per verificare la sicurezza dei propri sistemi e prevenire possibili attacchi. Tuttavia, la difesa più efficace contro questo tipo di minacce è la vigilanza e la collaborazione tra gli sviluppatori e gli utenti di software open source, che devono monitorare costantemente le modifiche al codice e segnalare eventuali anomalie o sospetti.
La backdoor in XZ Utils è un caso emblematico di come la sicurezza informatica sia una sfida sempre più complessa e dinamica, che richiede una costante attenzione e aggiornamento da parte di tutti gli attori coinvolti. Il fatto che un software così diffuso e importante sia stato compromesso da un gruppo di hacker probabilmente supportato da uno stato, senza che nessuno se ne accorgesse per tanto tempo, è una dimostrazione di come le catene di approvvigionamento software siano un bersaglio privilegiato per gli attacchi informatici. Solo una maggiore consapevolezza, una migliore comunicazione e una maggiore trasparenza possono garantire la sicurezza e la fiducia nel software open source, che è una risorsa preziosa per la comunità e per l’innovazione.
Sandro SanaLa disillusione nei confronti degli incontri online spinge sempre più le donne a cercare intimità emotiva nel mondo virtuale. Sempre più donne si rivolgono all’intelligenza artificiale, ovvero ai...
Una falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema...
Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...
Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...
