Avete mai avuto quella strana sensazione, mentre cercate un plugin per colorare meglio il codice o per automatizzare un task inutile, che stiate per invitare un estraneo a cena in salotto? Ecco, qualcuno nel team di GitHub lo ha fatto davvero, e il risultato è stato un disastro di proporzioni industriali.
GitHub ha appena confermato che circa 3.800 repository interni sono finiti sotto i ferri di un attacco informatico. E la causa non è un super-hacker con un cappuccio nero che ha bypassato firewall impenetrabili, ma un dipendente che ha installato una maledetta estensione malevola su VS Code. Sì, avete letto bene: un singolo clic su un’estensione probabilmente inutile ha aperto le porte del fortino.
La notizia è la solita, stanca conferma che la supply chain security è un buco nero senza fondo. Non importa quanto siano robusti i vostri sistemi di autenticazione o quanto siano blindati i server; se qualcuno nel team decide di installare quel plugin ‘comodo’ che promette di formattare il codice in modo ancora più elegante, il gioco è fatto. È il classico problema del ‘trusting the developer’, che per noi maker e smanettoni è un concetto sacro, ma che nel mondo enterprise si sta rivelando il tallone d’Achille più grande.
Dal mio punto di vista, questa è la prova che l’hype per la comodità sta vincendo la battaglia contro la prudenza. Viviamo in un’epoca in cui vogliamo tutto subito, con un click, integrato in un unico IDE, senza dover configurare nulla. Ma questa comodità ha un prezzo: la superficie di attacco si espande a dismisura. Ogni estensione che aggiungiamo al nostro setup è un potenziale cavallo di Troia che attende solo di essere aggiornato con una payload malevola.
Cosa significa per noi che passiamo le notti tra circuiti, codice Godot e modelli 3D in Blender? Significa che non possiamo più permetterci il lusso dell’ingenuità. Se usate estensioni non verificate, se installate pacchetti npm senza controllare cosa stanno facendo in background, state giocando alla roulette russa con i vostri dati. Non parlo di diventare dei paranoidi che usano solo Vim in modalità testuale (anche se, ammettiamolo, è più sicuro), ma di iniziare a guardare con sospetto quegli strumenti che promettono miracoli con zero sforzo.
In conclusione: la prossima volta che vedete un plugin con 10 milioni di download e un nome altisonante, fermatevi un secondo. Fate un check. Perché se non riescono a proteggere i propri repo, figuriamoci noi che gestiamo progetti personali su server casalinghi o piccoli server Linux recuperati dalle discariche.
Source: GitHub confirms breach of 3,800 repos via malicious VSCode extension