Indice
Ti sei mai chiesto se questo strumento di sviluppo che usi quotidianamente potrebbe nascondere un pericolo insospettato? Immagina che dietro una facciata perfettamente legittima si nasconda una trappola pronta a chiudersi su di te. È esattamente ciò che rivela la recente scoperta di una campagna di malware su GitHub, dove software dannosi mascherati da strumenti ordinari minacciano sviluppatori e utenti in tutto il mondo.
Le 3 informazioni da non perdere
Svelata da Netskope Threat Labs, la campagna malevola TroyDen’s Lure Factory utilizza GitHub come piattaforma di diffusione. Con oltre 300 pacchetti infetti, gli attaccanti sono riusciti a ingannare molti utenti utilizzando repository che sembrano perfettamente legittimi. Questi repository contengono software mascherati da strumenti di sviluppo o di gioco e sfruttano la credibilità di GitHub per infiltrarsi nei sistemi delle vittime.
Gli attaccanti hanno utilizzato tecniche di prova sociale per rafforzare la credibilità di questi repository, creando falsi account per aggiungere stelle e fork. Il tutto è orchestrato tramite il canale Telegram “NumberLocationTrack”, raggiungendo così un vasto pubblico.
I malware di questa campagna sono progettati per passare inosservati. Si basano su un’architettura complessa con due file innocui individualmente, ma temibili una volta combinati: un eseguibile LuaJIT e uno script Lua cifrato. Sfuggono così alle analisi classiche degli antivirus.
Per proteggersi ulteriormente, il malware verifica diversi parametri tecnici prima di eseguire, come la presenza di un debugger o un nome di macchina sospetto. In caso di dubbio, si mette in sospensione per un periodo lungo fino a 29.000 anni, rendendo la sua rilevazione quasi impossibile.
L’infrastruttura dell’attacco comprende otto server basati a Francoforte, permettendo di gestire simultaneamente migliaia di vittime. I ricercatori di Netskope hanno identificato che l’architettura del codice server assomiglia più a quella prodotta da un’intelligenza artificiale che a quella di uno sviluppatore umano.
Questa automazione si riflette anche nei nomi delle cartelle utilizzate per i malware, prendendo in prestito termini oscuri della biologia e della medicina, rafforzando l’ipotesi di una generazione automatica da parte dell’IA.
GitHub, nonostante la sua reputazione di piattaforma di fiducia per gli sviluppatori, si trova qui strumentalizzato da cybercriminali. La sicurezza sulle piattaforme online rimane una sfida importante, e questo caso mette in luce la necessità per gli utenti di rimanere vigili, anche su siti rinomati.
GitHub è stato informato dei repository fraudolenti da Netskope il 20 marzo 2026. Sebbene siano state prese misure per proteggere la comunità, questo incidente ricorda che anche le pagine di progetto più curate e i contributori più noti non garantiscono l’assenza di rischi.
Netskope è un’azienda di sicurezza riconosciuta per le sue soluzioni avanzate in materia di protezione dei dati e rilevamento delle minacce. Svelando la campagna TroyDen’s Lure Factory, mette in luce l’importanza della vigilanza sulle piattaforme di sviluppo collaborativo come GitHub.
GitHub, dal canto suo, è la più grande piattaforma di sviluppo al mondo, utilizzata da milioni di sviluppatori per collaborare e condividere codice. Sebbene esistano concorrenti, come GitLab e Bitbucket, GitHub rimane una scelta imprescindibile per molti professionisti del settore. Questo caso sottolinea la necessità per GitHub e i suoi utenti di rafforzare costantemente le loro pratiche di sicurezza per prevenire tali attacchi.