Netcrook Logo
👤 INTEGRITYFOX
🗓️ 02 Oct 2025   🌍 North America

Il pozzo avvelenato di Python: come il RAT SilentSync ha infiltrato gli sviluppatori tramite PyPI

Due pacchetti Python ingannevoli su PyPI hanno diffuso un trojan di accesso remoto furtivo, aprendo un nuovo fronte nella battaglia in corso sulla sicurezza del software open-source.

In breve

  • SilentSync RAT è stato diffuso tramite due pacchetti Python malevoli, sisaws e secmeasure, sull’archivio ufficiale PyPI.
  • Il malware raccoglieva dati del browser, catturava schermate ed esfiltrava file dai sistemi infetti.
  • Entrambi i pacchetti sono stati scaricati oltre 800 volte prima di essere rimossi, prendendo di mira principalmente utenti Windows ma con capacità multi-OS.
  • Gli aggressori hanno utilizzato il typosquatting, impersonando pacchetti legittimi per indurre gli sviluppatori a installare il malware.
  • L’attacco mette in evidenza i crescenti rischi nella catena di fornitura del software e la vulnerabilità degli archivi open-source.

Un cavallo di Troia per l’era digitale

Immagina un pozzo di quartiere fidato - e se qualcuno lo avvelenasse silenziosamente, e tutta la comunità ne bevesse senza sospettare nulla? È questa la cupa metafora che si sta realizzando nel mondo del software open-source, dove gli sviluppatori si affidano a repository come il Python Package Index (PyPI) per l’“acqua” digitale che alimenta i loro progetti. Questa primavera, i ricercatori di cybersicurezza hanno scoperto due nuove minacce - sisaws e secmeasure - nascoste in PyPI, entrambe contaminate da una potente variante di malware nota come SilentSync RAT.

L’anatomia di un attacco furtivo

Gli aggressori dietro SilentSync sono stati astuti. Pubblicando pacchetti con nomi simili a quelli legittimi - una tecnica chiamata typosquatting - hanno preso di mira sviluppatori distratti o ignari. Sisaws, ad esempio, imitava la libreria ufficiale dei dati sanitari dell’Argentina, mentre secmeasure si spacciava per uno strumento di sicurezza generico. Nascosta nel loro codice c’era una funzione che, una volta eseguita, scaricava silenziosamente un payload di seconda fase da PasteBin, un servizio pubblico di condivisione di testo. Il risultato finale? Un trojan di accesso remoto pienamente operativo introdotto di nascosto nel computer della vittima.

Una volta all’interno, SilentSync poteva controllare il computer infetto quasi come un burattinaio: eseguiva comandi, frugava tra i file, catturava schermate e rubava informazioni sensibili dai browser Chrome, Edge e Firefox. Si preoccupava persino di cancellare le proprie tracce per evitare di essere scoperto. Sebbene i sistemi Windows fossero i principali bersagli, il malware disponeva di strumenti anche per Linux e macOS, garantendo la persistenza su più piattaforme modificando le routine di avvio del sistema.

Echi di violazioni passate - e una minaccia crescente

Non è la prima volta che i repository open-source vengono trasformati in armi. Nel 2022, i ricercatori hanno seguito un’ondata di attacchi che utilizzavano PyPI e npm (il gestore di pacchetti Node.js) per distribuire password stealer e cryptominer. In un caso tristemente noto, un pacchetto npm malevolo chiamato “event-stream” ha infettato migliaia di progetti prima di essere scoperto. Il filo conduttore? La natura aperta e guidata dalla comunità di questi repository è sia il loro punto di forza che il loro tallone d’Achille.

Gli attacchi alla catena di fornitura - dove gli hacker compromettono strumenti di terze parti su cui fanno affidamento molti utenti - sono diventati una tattica preferita da cybercriminali e persino da attori statali. La famigerata violazione SolarWinds, che ha colpito agenzie governative statunitensi, ha mostrato la portata devastante di queste strategie. Sebbene la campagna SilentSync sia stata più contenuta, è un monito inquietante: anche solo pochi pacchetti avvelenati possono avere conseguenze sproporzionate, soprattutto quando riescono a superare i controlli delle piattaforme affidabili.

Perché è importante - e cosa succederà

Per sviluppatori e organizzazioni, la lezione è amara: fidarsi, ma verificare. La comodità dei repository pubblici di codice comporta rischi reali. Man mano che gli attaccanti diventano più sofisticati, la responsabilità ricade sia sui manutentori delle piattaforme sia sugli utenti finali, che devono esaminare attentamente ciò che installano. Nella corsa agli armamenti tra difensori e intrusi digitali, la vigilanza non è più opzionale - è una questione di sopravvivenza.

Man mano che il software open-source continua a sostenere il nostro mondo digitale, la storia di SilentSync è un colpo di avvertimento. Nella battaglia per la catena di fornitura del software, ogni riga di codice - e ogni download - conta.

WIKICROOK

  • Remote Access Trojan (RAT): Un Remote Access Trojan (RAT) è un malware che consente agli aggressori di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furto e spionaggio.
  • PyPI (Python Package Index): PyPI è il repository online ufficiale per i pacchetti Python, che consente agli sviluppatori di caricare, condividere e scaricare librerie e strumenti di codice riutilizzabili.
  • Typosquatting: Il typosquatting è quando gli aggressori usano nomi simili a quelli di siti o software affidabili per indurre gli utenti a visitare siti falsi o scaricare malware.
  • Supply Chain Attack: Un attacco alla catena di fornitura è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • Esfiltrazione: L’esfiltrazione è il trasferimento non autorizzato di dati sensibili dalla rete della vittima a un sistema esterno controllato dagli aggressori.
INTEGRITYFOX INTEGRITYFOX
Data Trust & Manipulation Analyst
← Back to news