News

GitHub sotto attacco: arriva il codice invisibile

Matteo Baitelli · 14 Marzo 2026 · 5 min di lettura
GitHub sotto attacco: arriva il codice invisibile
Immagine: Ars Technica

Il mondo dello sviluppo software è di nuovo sotto la lente d’ingrandimento per una nuova tipologia di attacco che sta facendo tremare gli esperti di cybersecurity. GitHub, NPM e Open VSX sono finiti nel mirino di hacker che hanno messo a punto una tecnica raffinata e inquietante: nascondere codice malevolo utilizzando caratteri Unicode completamente invisibili all’occhio umano.

La scoperta, effettuata dai ricercatori di Aikido Security, ha portato alla luce 151 pacchetti dannosi caricati su GitHub in una sola settimana, dal 3 al 9 marzo. Ma quello che rende questa campagna particolarmente preoccupante non è tanto la quantità, quanto la sofisticatezza della tecnica utilizzata: per la prima volta su così larga scala, gli attaccanti sono riusciti a bypassare completamente i controlli di sicurezza tradizionali.

Gli attacchi supply-chain non sono certo una novità nel panorama della cybersecurity, ma questa evoluzione rappresenta un salto qualitativo che potrebbe cambiare le regole del gioco per milioni di sviluppatori in tutto il mondo.

La tecnica del codice fantasma

Il meccanismo alla base di questi attacchi è tanto geniale quanto pericoloso. Mentre la maggior parte del codice appare in forma normale e leggibile, le funzioni maligne e i payload dannosi vengono nascosti utilizzando caratteri Unicode invisibili. Questo significa che un developer può scorrere il codice con i propri occhi, vederlo apparentemente pulito e sicuro, mentre in realtà contiene istruzioni nascoste pronte ad attivarsi.

La tecnica sfrutta una caratteristica del sistema Unicode che permette l’esistenza di caratteri che, pur essendo tecnicamente presenti e interpretabili dai computer, risultano completamente trasparenti quando visualizzati negli editor di codice, nei terminali e nelle interfacce di code review più comuni. È come avere un mantello dell’invisibilità per il codice malevolo.

Secondo quanto riportato dai ricercatori di Aikido Security, questa metodologia era già stata individuata in forma sperimentale lo scorso anno, ma marzo 2024 ha segnato la prima campagna massiva che l’ha utilizzata su scala industriale. Il risultato? I sistemi di difesa tradizionali, progettati per individuare anomalie nel codice visibile, si sono dimostrati completamente inefficaci.

L’impatto sui repository più utilizzati

L’attacco non si è limitato a GitHub, ma ha colpito un ecosistema più ampio che include NPM (il package manager di Node.js utilizzato da milioni di sviluppatori JavaScript) e Open VSX, il registry delle estensioni per editor di codice come Visual Studio Code. Questa scelta strategica non è casuale: colpendo i repository più utilizzati dalla community degli sviluppatori, gli attaccanti massimizzano le possibilità che i loro pacchetti dannosi vengano scaricati e integrati in progetti legittimi.

Il modus operandi segue il copione classico degli attacchi supply-chain: i pacchetti malevoli utilizzano nomi e descrizioni che imitano da vicino quelli di librerie popolari e ampiamente utilizzate. L’obiettivo è sfruttare gli errori di battitura (typosquatting) o la fretta degli sviluppatori per far sì che scarichino inconsapevolmente il pacchetto sbagliato.

Una volta installati, questi pacchetti possono eseguire una vasta gamma di azioni dannose: dal furto di credenziali e dati sensibili alla creazione di backdoor nei sistemi, fino all’installazione di malware aggiuntivi. La particolarità di questa campagna è che le tradizionali verifiche manuali del codice, considerate una delle ultime linee di difesa più affidabili, risultano completamente inutili.

Cosa cambia per gli sviluppatori

Per la community italiana degli sviluppatori, questa scoperta rappresenta un campanello d’allarme importante. Le aziende tech del nostro Paese, dalle startup innovative alle grandi corporate, si affidano massicciamente a repository pubblici per accelerare lo sviluppo dei propri prodotti. La possibilità che codice apparentemente innocuo nasconda in realtà funzionalità maligne cambia radicalmente l’approccio alla sicurezza.

Le implicazioni sono particolarmente serie per le software house che lavorano con clienti enterprise o che gestiscono dati sensibili. Un singolo pacchetto compromesso può aprire le porte a violazioni su larga scala, con conseguenze legali e reputazionali devastanti. In un mercato come quello italiano, dove la digitalizzazione è in forte accelerazione ma spesso manca ancora una cultura della cybersecurity sufficientemente matura, questi rischi sono amplificati.

La sfida ora è duplice: da un lato, i fornitori di piattaforme come GitHub e NPM dovranno sviluppare nuovi strumenti di detection capaci di identificare caratteri Unicode sospetti e pattern nascosti. Dall’altro, gli sviluppatori dovranno rivedere i propri workflow di sicurezza, integrando strumenti automatizzati più sofisticati e adottando pratiche di verifica più rigorose.

Guardando al futuro, questa evoluzione degli attacchi supply-chain ci ricorda che la sicurezza informatica è una corsa agli armamenti in continua evoluzione. Mentre i ricercatori lavorano per sviluppare contromisure efficaci contro il codice invisibile, possiamo essere certi che gli attaccanti stanno già sperimentando la prossima tecnica di evasione. Per gli sviluppatori, la lezione è chiara: la vigilanza non basta più, serve una strategia di sicurezza proattiva e multi-layered.

Leggi anche:

Fonte: Ars Technica

#Cybersecurity #GitHub #Supply Chain Attack #sviluppo software #Unicode