Quante volte vi è capitato di scaricare una libreria dal repository ufficiale, convinti che fosse il pezzo mancante per far girare quel vostro script Python o quel prototipo CNC, solo per scoprire che state involontariamente invitando un malintenzionato a cena in casa vostra?
La notizia che arriva da Ars Technica è la solita, amara doccia fredda per chiunque faccia parte della nostra tribù. Un pacchetto open source chiamato ‘element-data’, che vanta cifre da capogiro — parliamo di un milione di download al mese — è stato incriminato per il furto di credenziali degli utenti. Sì, avete letto bene: un milione di installazioni potenzialmente compromesse. Non è un piccolo script scritto da un ragazzino per scherzo, è una parte integrante di un ecosamente vasto ecosistema di dipendenze.
Il meccanismo è il solito, vecchio trucco del ‘supply chain attack’. Qualcuno ha iniettato del codice malevolo in un pacchetto che tutti consideravamo affidabile. Mentre noi siamo qui a impazzire per far renderizzare un modello in Blender o a cercare di far parlare un vecchio modulo Arduino con un modulo Wi-Fi, qualcuno si diverte a iniettare backdoor silenziose nel nostro flusso di lavoro.
Da smanettone, trovo che questa cosa faccia rabbia doppia. Da un lato, c’è la frustrazione per la vulnerabilità del sistema; dall’altro, c’è la consapevolezza che la nostra stessa libertà di ‘usare e modificare’ ci espone a rischi che spesso sottovalutiamo. Siamo abituati a fidarci del codice open source perché è trasparente, ma la trasparenza non serve a nulla se non hai il tempo (o la voglia, ammettiamolo) di fare un audit manuale di ogni singola riga di ogni dipendenza che importi nel tuo progetto.
Cosa significa per noi che passiamo le giornate tra saldatori, Godot e script Python? Significa che la ‘pigrizia del comando pip install’ sta diventando un rischio reale. Se usate ‘element-data’ nei vostri progetti, fermate tutto. Controllate i log, verificate l’integrità e, per l’amor di silicio, cambiate le password e i token di accesso.
Non possiamo smettere di usare l’open source — sarebbe come cercare di costruire una macchina a controllo numerico senza usare il software — ma dobbiamo iniziare a sviluppare un sano senso di paranoia. Controllate le versioni, usate i lockfile e, quando potete, date un’occhiata a cosa sta facendo davvero quel pacchetto che sembra troppo comodo per essere vero. La sicurezza non è un optional, nemmeno quando stiamo solo provando a far girare un vecchio gioco arcade su un Raspberry Pi.
Source: Open source package with 1 million monthly downloads stole user credentials