Secondo i dati di telemetria di Kaspersky, alla fine del 2025 sono stati individuati quasi 19.500 pacchetti dannosi nei progetti open source, con un aumento del 37% rispetto alla fine del 2024
Lo sviluppo software moderno è indissolubilmente legato ai componenti open source. Tuttavia, il software open source può nascondere minacce intenzionalmente occultate, che rendono vulnerabili alla manipolazione i prodotti che utilizzano pacchetti dannosi, inclusi gli attacchi alla supply chain. Secondo un nuovo studio globale condotto da Kaspersky, proprio gli attacchi alla supply chain si sono confermati la minaccia più diffusa per le aziende nell’ultimo anno.
Kaspersky ricorda alcuni attacchi alla supply chain di grande risonanza verificatisi di recente:
- Aprile 2026: il sito web ufficiale di CPU-Z e HWMonitor, strumenti gratuiti utilizzati da appassionati di hardware, amministratori IT e assemblatori di sistemi in tutto il mondo per monitorare le performance hardware, è stato compromesso: i download legittimi del software sono stati sostituiti in modo invisibile con programmi di installazione contenenti malware. L’analisi di Kaspersky GReAT ha mostrato che la finestra di compromissione è durata circa 19 ore. La telemetria di Kaspersky ha rilevato che più di 150 vittime in diversi Paesi hanno subito questo attacco. La maggior parte erano utenti individuali, in linea con la natura consumer del software compromesso. Le aziende colpite operavano in settori che spaziano dal commercio al dettaglio alla produzione, dalla consulenza alle telecomunicazioni, fino all’agricoltura.
- Marzo 2026: Axios, uno dei client HTTP JavaScript più diffusi, è stato compromesso. Gli aggressori hanno preso il controllo dell’account di un maintainer e pubblicato versioni compromesse del pacchetto (1.14.1 e 0.30.4). Le versioni dannose non contenevano codice malevolo all’interno di Axios stesso, ma introducevano una dipendenza fantasma che distribuiva un RAT multipiattaforma, contattava un server C&C e poi cancellava le proprie tracce su macOS, Windows e Linux. Entrambe le versioni sono state rimosse nel giro di poche ore e la dipendenza è stata rapidamente messa in sicurezza. Kaspersky GReAT ha confermato che l’attacco non era un caso isolato: condivideva tattiche, tecniche e procedure con le campagne GhostCall e GhostHire di Bluenoroff, presentate al Security Analyst Summit nel 2025.
- Febbraio 2026: gli sviluppatori di Notepad++, un editor di testo e codice open source ampiamente utilizzato, hanno reso noto che la loro infrastruttura era stata compromessa a causa di un incidente verificatosi presso un provider di hosting. I ricercatori di Kaspersky GReAT hanno scoperto che gli autori dell’attacco alla supply chain di Notepad++ avevano utilizzato almeno tre diverse catene di infezione e preso di mira un’organizzazione governativa nelle Filippine, un istituto finanziario in El Salvador, un fornitore di servizi IT in Vietnam e utenti in diversi Paesi.
“Secondo il nostro sondaggio, il 31% delle grandi aziende ha subito un attacco alla supply chain negli ultimi 12 mesi. Tuttavia, il livello di sicurezza dei progetti open source non è necessariamente inferiore a quello delle soluzioni proprietarie dei fornitori. In alcuni casi, una community open source attiva è in grado di individuare e correggere rapidamente le vulnerabilità, mentre i sistemi proprietari spesso si affidano a team interni per gli audit. La community open source si impegna a monitorare i rischi emergenti, mentre gli specialisti di sicurezza informatica conducono ricerche per individuare vulnerabilità e codice dannoso nel software open source, informando tempestivamente utenti e community. È impossibile eliminare completamente i potenziali rischi, ma è possibile ridurli al minimo anche con l’aiuto di soluzioni di sicurezza e strumenti automatizzati di analisi del codice”, ha commentato Dmitry Galov, Head of Kaspersky GReAT Russia e CIS.
Per garantire la propria sicurezza Kaspersky consiglia di:
- Utilizzare una soluzione come Kaspersky Open Source Software Threats Data Feed per monitorare i componenti open source impiegati e individuare eventuali minacce nascoste al loro interno.
- Garantire un monitoraggio continuo, adottando soluzioni come XDR e MXDR, che fanno parte della linea di prodotti Kaspersky Next, per il monitoraggio in tempo reale dell’infrastruttura e l’individuazione di anomalie nel software e nel traffico di rete, in base alla disponibilità di personale interno dedicato.
- Restare informati sulle minacce emergenti, iscrivendosi ai bollettini e alle allerte di sicurezza relativi all’ecosistema open source. Prima si viene a conoscenza di una minaccia, più rapidamente si potrà reagire.
- Elaborare un piano di risposta agli incidenti, assicurandosi che contempli anche gli attacchi alla supply chain e preveda misure per identificare e contenere rapidamente eventuali violazioni, ad esempio scollegando il fornitore dai sistemi aziendali.
- Collaborare con i fornitori sulle questioni relative alla sicurezza. Questo rafforza la protezione da entrambe le parti e rende la sicurezza una priorità condivisa.
