DifesaEconomiaScienza
La Falla silenziosa nel codice: come il TeamPCP ha compromesso la supply chain del Software mondiale
Il gruppo hacker TeamPCP ha compromesso le fondamenta del software open source (Trivy e LiteLLM), rubando credenziali cloud da oltre 500.000 dispositivi. Scopri come funziona l’attacco e perché non basta aggiornare i sistemi per salvarsi.
Nel mondo dello sviluppo software contemporaneo, l’artigianato è un ricordo del passato: nessuno scrive più tutto il codice da zero. Ci si affida a librerie e strumenti open source preesistenti, creando una vera e propria catena di montaggio digitale, la cosiddetta supply chain. È un sistema estremamente efficiente, ma nasconde un tallone d’Achille strutturale: se qualcuno avvelena i componenti di base, l’infezione si propaga automaticamente a cascata su milioni di computer e server aziendali. Questo è esattamente ciò che è accaduto con il gruppo hacker TeamPCP, autore di una delle violazioni più estese e letali degli ultimi anni.
L’anatomia tecnica di un disastro
L’attacco ha preso di mira strumenti fondamentali per la sicurezza informatica e l’Intelligenza Artificiale, partendo da Trivy (uno scanner di vulnerabilità di Aqua Security) per arrivare a LiteLLM, una nota e diffusissima libreria per l’IA.
Come sono riusciti a infettare sistemi teoricamente sorvegliati? Non con un attacco di forza bruta frontale, ma sfruttando l’ingegneria stessa dei sistemi di rilascio del software. L’operazione si è svolta in tre fasi magistrali:
- Il furto delle chiavi principali: A fine febbraio 2026, gli hacker hanno sfruttato un errore di configurazione in GitHub Actions (la piattaforma che automatizza la creazione e il test del software) per rubare un token di accesso privilegiato, ottenendo le chiavi dell’infrastruttura.
- L’inganno delle “Etichette”: I sistemi aziendali automatizzati (CI/CD) scaricano gli aggiornamenti fidandosi di specifiche etichette di versione (version tags). Invece di creare una nuova versione palesemente falsa, il TeamPCP ha modificato le etichette legittime esistenti. I computer delle aziende hanno importato il codice malevolo in automatico, senza far scattare alcun allarme, poiché il malware veniva eseguito prima che si attivassero i controlli di sicurezza standard.
- L’infezione silente in Python: Nel caso di LiteLLM, gli aggressori hanno introdotto un meccanismo ancora più aggressivo nella versione 1.82.8. Hanno nascosto il codice infetto in un file .pth (litellm_init.pth). Nel linguaggio Python, questi file vengono processati automaticamente all’avvio. In sintesi, il malware si attivava ogni singola volta che il sistema avviava l’interprete Python, a prescindere dall’uso effettivo o meno della libreria LiteLLM.
| Fase dell’Attacco | Vettore o Strumento Utilizzato | Azione Tecnica e Conseguenze |
| 1. Infiltrazione | GitHub Actions (Trivy) | Furto di credenziali tramite errata configurazione dei permessi. |
| 2. Propagazione | Version Tags alterati | Inserimento di codice invisibile nelle pipeline CI/CD automatizzate. |
| 3. Esecuzione | File .pth (LiteLLM) | Attivazione perenne del payload all’avvio dell’ambiente Python. |
| 4. Esfiltrazione | TeamPCP Cloud Stealer | Furto massivo di chiavi AWS, GCP, Azure, SSH e token Kubernetes. |
L’aspirapolvere dei segreti aziendali
Una volta insediato, il malware (ribattezzato “TeamPCP Cloud Stealer”) si è comportato come un aspirapolvere di segreti industriali. Ha rastrellato chiavi di accesso al cloud, token di servizio, configurazioni Docker, credenziali dei database e persino portafogli di criptovalute. Tutti questi dati venivano impacchettati in un archivio criptato e spediti silenziosamente a server controllati dai pirati informatici (come models.litellm.cloud).
Non è mancata una spietata sfumatura geopolitica: lo script era programmato per controllare la localizzazione dei sistemi. Se rilevava macchine configurate per l’Iran, attivava un comando che ne cancellava interamente il contenuto. Altrove nel mondo, installava una backdoor (una porta di servizio segreta e persistente) per garantire agli hacker un accesso continuo nel tempo.
Il pericolo è scampato?
Assolutamente no. Le piattaforme ufficiali hanno rimosso le versioni infette dei software, ma il danno a valle è enorme. Si stima che circa 500.000 dispositivi siano stati compromessi o abbiano subito l’esfiltrazione dei dati.
Il vero problema ora è la “persistenza”. Aggiornare il software oggi non serve a nulla se gli hacker hanno rubato le vostre password ieri; hanno già le chiavi di casa. Le aziende e i programmatori devono immediatamente:
- Ruotare (cambiare) tutte le credenziali: Password, chiavi SSH, chiavi cloud e token API devono essere resettati se si è usato software compromesso.
- Cercare artefatti sospetti: Verificare la presenza di file malevoli persistenti come ~/.config/sysmon/sysmon.py.
- Ispezionare i server: Controllare i cluster Kubernetes per individuare processi non autorizzati.
L’industria IT ci rassicura costantemente sull’inviolabilità del cloud, ma la dura realtà tecnica dimostra che basta un singolo anello debole per mettere in ginocchio mezzo milione di sistemi. Non solo, ma il fatto che si sia trattato di un attacco effettuato con il “Vibe coding” mette in evidenza come la AI fornisca degli strumenti di programmazione potenziati agli hacker.
Rimani aggiornato seguendoci su Google News! 
La grande frenata dell’auto elettrica: chi la lascia nel 2026
L’Intelligenza Artificiale alla scoperta dell’energia geotermica: la fine delle trivellazioni “alla cieca”
Europa paralizzata: l’illusione dell’integrazione si infrange sull’ennesima crisi energetica
Petrolio alle stelle e venti di guerra: United Airlines taglia i voli. Se il mercato “libero” presenta il conto all’aviazione USA
You must be logged in to post a comment Login