GitHub e GitLab sempre più nel mirino! Attacchi mirati agli sviluppatori tramite repository falsi

Ospitando progetti falsi su piattaforme di sviluppo popolari (GitHub e GitLab), gli aggressori inducono gli utenti a eseguire payload dannosi che estraggono componenti aggiuntivi da un repository controllato dagli hacker. Di conseguenza, trojan di accesso remoto e spyware vengono scaricati sui dispositivi delle vittime.

Gli analisti di Positive Technologies hanno presentato un rapporto sulle minacce informatiche per la prima metà del 2025. Secondo i loro dati, il metodo principale per attaccare con successo le organizzazioni rimane il malware: è stato utilizzato nel 63% dei casi.

Allo stesso tempo, la quota di distribuzione di malware tramite siti web ha raggiunto il 13%: quasi il doppio rispetto allo stesso periodo del 2024. Secondo i ricercatori, il numero record di tali attacchi in tre anni è dovuto alla crescente popolarità di strategie mirate agli sviluppatori. Compromettendo repository aperti e typosquatting, i criminali si infiltrano nelle catene di approvvigionamento.

Ad esempio, in Russia, Brasile e Turchia, una campagna dannosa mascherata da centinaia di progetti open source ha preso di mira giocatori e investitori in criptovalute, scaricando sui loro dispositivi un infostealer che ruba indirizzi di portafogli crittografici, dati personali e bancari.

Nel frattempo, almeno 233 vittime negli Stati Uniti, in Europa e in Asia sono state colpite da una campagna del gruppo nordcoreano Lazarus, che ha impiantato un programma JavaScript nei sistemi degli sviluppatori, progettato per raccogliere informazioni di sistema.

“Le tattiche dei gruppi APT si stanno evolvendo: si passa dal phishing di massa ad attacchi mirati agli sviluppatori. Il loro nuovo obiettivo sono le supply chain di diverse tecnologie. Introducendo malware nei processi di sviluppo, gli aggressori sferrano un doppio colpo: colpiscono non solo la vittima stessa, ma anche i progetti a cui sono associati. Prevediamo che questa tendenza acquisirà slancio: gli attacchi alle aziende IT e agli sviluppatori con l’obiettivo di indebolire le supply chain si verificheranno più spesso”, commenta Anastasia Osipova, analista junior del gruppo di ricerca Positive Technologies.

Il rapporto rileva inoltre che dall’inizio dell’anno gli aggressori hanno utilizzato attivamente tecniche di typosquatting negli ecosistemi open source, sfruttando gli errori degli utenti durante l’inserimento dei nomi dei pacchetti.

Ad esempio, gli esperti avevano precedentemente identificato una campagna dannosa nel repository PyPI che prendeva di mira sviluppatori, specialisti di ML e appassionati interessati a integrare DeepSeek nei loro sistemi. I pacchetti dannosi deepseeek e deepseekai potevano raccogliere dati sull’utente e sul suo computer, oltre a rubare variabili d’ambiente.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore