Immaginate di entrare in un gigantesco magazzino di componenti elettronici, uno di quelli dove trovate di tutto, dai microcontrollori vintage ai sensore più assurdi, e scoprire che tra i chip puliti ci sono decine di migliaia di condensatori che esplodono appena applicate la tensione.
Ecco, lo stesso panico da corto circuito è quello che sta attraversando la community di GitHub in questi giorni. Un utente, mentre faceva una banale ricerca su Google per vedere se il suo progetto fosse stato indicizzato, ha scoperchiato un vaso di Pandora digitale: 10.000 repository pronti a iniettare Trojan nei sistemi di chiunque sia abbastanza sbadato da scaricarli.
La cosa impressionante non è solo il numero — che è comunque una cifra da mal di testa — ma il metodo. Non parliamo di vecchi fork di progetti famosi o di bot che replicano lo stesso codice sporco. No, qui parliamo di una rete strutturata di repository con nomi diversi, contributori diversi e un pattern di codice che, una volta identificato tramite uno script (e qui bisogna fare un applauso al ricercatore), rivela la natura maligna di tutto il cluster. È una vera e propria operazione di ‘supply chain attack’ su scala industriale, camuffata sotto la maschera del codice open source.
Da smanettone che non ne vuole sapere di fidarsi nemmeno della propria madre, trovo questa situazione inquietante ma non del tutto inaspettata. Noi viviamo di repository, di librerie prese a caso da StackOverflow e di script Python trovati in qualche angolo oscuro del web per far girare una funzione di automazione. La nostra forza è la condivisione, ma la nostra debolezza è la pigrizia. La tentazione di fare un ‘git clone’ e sperare che tutto funzioni senza leggere nemmeno una riga di quello che sta succedendo nei file di setup è la nostra rovina.
Cosa significa per noi che passiamo le notti a compilare firmware o a integrare librerie per i nostri progetti di automazione? Significa che dobbiamo tornare alle basi. Controllare i commit, analizzare i file di configurazione e, per l’amor di tutti i processore Z80, smetterla di fidarsi ciecamente di ogni repository che promette ‘magia istantanea’.
GitHub deve prendersi le proprie responsabilità. Non possiamo permettere che la piattaforma diventi un marketplace per malware strutturati con questa precisione. Se il sistema di rilevamento di GitHub non riesce a beccare un pattern così massiccio, allora il concetto di ‘sicurezza’ è solo una parola vuota da inserire nei comunicati stampa per rassicurare gli investitori.
Insomma, ragazzi, occhio a quello che scaricate. La prossima volta che trovate un repository che promette di far girare Blender su un Raspberry Pi 1 con prestazioni incredibili, fermatevi un secondo. Leggete il codice. Non fatevi fregare dal tropo dell’automazione facile. Alla fine della fiera, l’unico vero hacker deve essere quello che scrive il codice, non quello che lo usa per distruggervi il server.
Source: I found 10k GitHub repositories distributing Trojan malware