Sandro Sana : 18 Luglio 2025 22:22
Nel mondo della cybersecurity siamo abituati a dare la caccia ai mostri: APT, 0-day, malware super avanzati, ransomware con countdown da film di Hollywood. Ma intanto, nei corridoi silenziosi del codice sorgente, si consumano le vere tragedie. Silenziose, costanti, banali. Repository Git pieni zeppi di credenziali, token, chiavi API e variabili di ambiente spiattellate come fosse la bacheca dell’oratorio.
La notizia la riporta The Hacker News: una nuova campagna di attacchi, soprannominata “The Unusual Suspect”, sfrutta repository Git pubblici e privati per accedere ad ambienti cloud, pipeline CI/CD e database interni, con una facilità che fa più paura di un exploit zero-click. Non c’è magia nera. Non c’è necessità di brute force o social engineering. Serve solo un po’ di pazienza, un motore di ricerca, e… la dabbenaggine di chi commit(a) i segreti senza pensarci due volte.
L’attacco si basa su una verità semplice, ma devastante: i repository Git sono ormai il centro di gravità permanente del software moderno. Contengono tutto. Codice, configurazioni, log, cronjob, script bash di provisioning, playbook Ansible. E in mezzo a tutta questa roba, spesso ci scappano – anzi, ci cascano – anche file .env, chiavi SSH, config.yml con hardcoded credentials e token OAuth lasciati lì “per fare prima”.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli attaccanti lo sanno bene. E lo sfruttano. Con tool automatizzati che scandagliano milioni di repo alla ricerca di stringhe sospette, API key note, access token e pattern classici (AKIA..., ghp_..., eyJhbGciOi...). Appena trovano l’ingresso, entrano. E non bussano.
tj-actions/changed-files: 23.000 repo esposti, nessuna pietàA marzo 2025 esplode uno dei casi più eclatanti dell’anno. Una GitHub Action molto usata — tj-actions/changed-files — viene modificata da un attaccante che ha trafugato un GitHub PAT. La nuova versione? Una trappola perfetta: stampa nei log tutte le secrets disponibili nel runner CI/CD. Tutte. E quei log, tanto per gradire, sono pubblici.
Risultato? Migliaia di repository, aziende e sviluppatori si sono ritrovati con le mutande digitali abbassate in piazza. Le loro chiavi AWS, token GCP, PAT GitHub, chiavi Stripe o Twilio… tutte lì, nei log. A disposizione di chiunque sapesse cosa cercare. E gli attaccanti hanno cercato. Eccome se hanno cercato.
L’obiettivo? Non tanto la Action in sé, ma i progetti target che ne facevano uso. Come coinbase/agentkit. Sì, proprio Coinbase. Non stiamo parlando della startup sotto casa.
La cosa che fa più rabbia non è l’attacco in sé, ma quanto fosse evitabile. Bastava usare l’hash del commit anziché il tag v4. Bastava fare secret scanning prima del push. Bastava configurare correttamente i permessi delle GitHub Actions. Ma no. Il Dev scrive, commit(a), push(a) e via andare. “Ci penserà qualcun altro a fare la security”. Ecco, news flash: quel qualcun altro non c’è. E quando l’attacco arriva, è sempre troppo tardi.
Qui non serve un patch di sicurezza. Serve una riscrittura del DNA operativo. I repo vanno trattati come asset critici. Le pipeline come potenziali vettori d’attacco. I file .env devono sparire dai commit come le password scritte sui post-it. E i dev devono capire che non sono solo coder, ma i primi difensori dell’infrastruttura.
La vera bomba di questi attacchi non è solo l’ingresso iniziale. È ciò che succede dopo. Perché attraverso la CI/CD, l’attaccante può fare praticamente tutto: modificare gli artefatti, inserire backdoor, distribuire payload nei container, creare persistenza nei Lambda, oppure fare exfiltration tranquillo via S3. Tutto questo passando per runner CI pubblici, spesso non monitorati, senza EDR, senza SIEM, e con più privilegi di quanto dovrebbe avere un pentester col cappello bianco.
Se lasci il cancello della pipeline aperto, l’attacco è solo una questione di tempo.
In questo momento, ci sono migliaia di repository Git con chiavi valide committate. Alcune da sviluppatori freelance che non hanno idea del rischio. Altre da aziende grandi, blasonate, piene di certificazioni ISO e badge SOC2 sul sito. Tutti convinti che “tanto chi vuoi che ci guardi?”. Ma gli attaccanti guardano. E guardano molto più in profondità di quanto crediate.
Questa non è paranoia. È cronaca. E se non iniziamo a trattare i repository come asset strategici, finiranno per essere l’anello debole che ci farà crollare addosso tutta l’impalcatura.
Questa storia ci insegna una cosa: la sicurezza moderna non ha bisogno di eroi, ma di disciplina. Di processi. Di controlli. Di cultura. Perché oggi, più che mai, un semplice git push può diventare l’inizio della fine.
Il nemico non bussa più alla porta. Passa dal repository.
Sandro SanaGli hacker prendono sempre più di mira i backup , non i sistemi o i server, ma i dati che le aziende conservano per un periodo di tempo limitato, in modo da potersi riprendere in caso di attacchi. Un...
Sabato 20 settembre 2025 un attacco informatico ha colpito un fornitore di servizi utilizzati da diversi aeroporti europei, tra cui Bruxelles, Berlino e Londra-Heathrow. L’incidente ha causato notev...
Un disegno di legge volto a potenziare la presenza delle Forze Armate nello spazio cibernetico è stato sottoposto all’esame della Camera. Il provvedimento, sostenuto dal presidente della Commission...
Due ragazzi militanti nel gruppo Scattered Spider sono stati incriminati nell’ambito delle indagini della National Crime Agency su un attacco informatico a Transport for London (TfL). Il 31 agosto 2...
Avevamo già parlato della proposta di regolamento “ChatControl” quasi due anni fa, ma vista la roadmap che è in atto ci troviamo nell’imbarazzo di doverne parlare nuovamente. Sembra però un d...
