Se pensavate che il vostro ambiente di produzione fosse al sicuro perché usate software ‘enterprise’, beh, preparate pure le candele per un piccolo rituale di esorcismo digitale.
La notizia che arriva da Ars Technica è di quelle che ti fanno venire voglia di staccare tutto e tornare a programmare su un Commodore 64, dove l’unico rischio di crash era un disco magnetico mal leggibile. Decine di pacchetti ufficiali Red Hat sono stati compromessi tramite il loro canale NPM ufficiale. Sì, avete letto bene: non un attacco laterale complesso o una vulnerabilità zero-day scoperta da un genio del male, ma una backdoor iniettata direttamente nel flusso di distribuzione che dovrebbe essere il nostro punto di riferimento per la sicurezza.
In pratica, qualcuno è riuscito a sporcare i repository. Se avete scaricato o aggiornato pacchetti interessati, la vostra macchina potrebbe aver appena accolto un ospite non invitato che ha i permessi di root e una voglia matta di fare danni. Non è la solita ‘magia’ del marketing aziendale che promette sicurezza totale; qui parliamo di una falla strutturale nel modo in cui ci fidiamo delle catene di approvvigionamento del software.
Da smanettone che ha passato troppe ore a debuggare script scritti male, la cosa che mi manda in bestia è la fragilità del nostro ecosistema. Noi che amiamo l’automazione e i workflow fluidi, che usiamo NPM per gestire dipendenze e build, ci troviamo intrappolati in un paradosso: più rendiamo tutto efficiente e integrato, più rendiamo facile per un malintenzionato far esplodere tutto con un singolo commit malevolo.
Per noi che ci piace mettere le mani in pasta, che costruiamo server per gestire le stampanti 3D o che gestiamo nodi di calcolo per l’IA, il messaggio è chiaro: la fiducia cieca è un bug, non una feature. Se avete macchine che girano pacchetti Red Hat, smettete di fare i pigri e andate a investigare immediatamente. Verificate gli hash, controllate i log, fate il check di quello che state eseguendo.
Non è il momento di fare gli apocalittici, ma è il momento di tornare alle buone vecchie pratiche del maker: controlla sempre l’integrità del materiale prima di iniziare la saldatura. Se il componente è difettoso, non montarlo, o finirai per bruciare tutto il circuito.
Source: Dozens of Red Hat packages backdoored through its offical NPM channel