Il finto invito OpenAI che inganna i dev (e il malware Miasma che infetta la supply chain)

🛡️ Executive Summary

• La campagna Poisoned Tenant sfrutta tenant OpenAI fraudolenti, mentre Miasma compromette pacchetti npm e workflow GitHub Actions.
• Le minacce consentono furto di credenziali, token di sessione, segreti CI/CD, codice sorgente e accessi privilegiati persistenti agli ambienti di sviluppo.
• Le mitigazioni richiedono verifica degli inviti SaaS, controllo delle dipendenze software, rotazione dei token, analisi degli IOC e monitoraggio continuo delle pipeline.

L’evoluzione degli attacchi alla supply chain continua a spostarsi verso vettori sempre più difficili da distinguere dalle attività legittime. Due campagne emerse nelle ultime settimane dimostrano come gli attori malevoli stiano sfruttando servizi affidabili e strumenti utilizzati quotidianamente da aziende e sviluppatori per ottenere accessi privilegiati e sottrarre informazioni strategiche. Da una parte la campagna Poisoned Tenant sfrutta l’infrastruttura ufficiale di OpenAI per inviare inviti autentici a organizzazioni fraudolente che impersonano società di cybersecurity e aziende tecnologiche. Dall’altra il malware Miasma compromette pacchetti npm, repository Go e workflow GitHub Actions, diffondendosi lungo le pipeline di sviluppo attraverso componenti software apparentemente affidabili. Entrambe le operazioni condividono un elemento fondamentale: l’abuso della fiducia riposta dagli utenti in piattaforme legittime. Invece di forzare direttamente le difese, gli aggressori sfruttano meccanismi ufficiali di collaborazione e distribuzione software, aumentando drasticamente le probabilità di successo contro organizzazioni che custodiscono codice sorgente, proprietà intellettuale e informazioni riservate.

Poisoned Tenant sfrutta organizzazioni OpenAI falsificate per colpire aziende di cybersecurity

La campagna Poisoned Tenant, individuata dai ricercatori di Push Security, rappresenta una nuova tecnica di social engineering che sfrutta direttamente l’infrastruttura ufficiale di OpenAI. Gli aggressori hanno creato tenant fraudolenti che impersonano aziende reali del settore tecnologico e della cybersecurity, inviando inviti autentici tramite l’indirizzo [email protected].

Poiché le email provengono dall’infrastruttura legittima della piattaforma, superano normalmente i controlli SPF, DKIM e DMARC, rendendo estremamente difficile distinguerle da comunicazioni genuine. Nel caso osservato, gli operatori hanno impersonato Push Security Inc., inviando inviti mirati ai dipendenti dell’azienda dopo un’attenta attività di ricognizione.

L’elevato livello di personalizzazione dimostra che non si tratta di campagne massive, bensì di operazioni altamente selettive rivolte a organizzazioni in possesso di dati strategici. Sebbene OpenAI inserisca un avviso che segnala la mancata corrispondenza tra il dominio dell’invitante e quello del destinatario, tale informazione compare come una semplice riga nel messaggio e può facilmente passare inosservata durante una normale lettura.

I tenant fraudolenti puntano a raccogliere dati sensibili attraverso ChatGPT

Il funzionamento della campagna è particolarmente insidioso perché non richiede alcuna compromissione dell’infrastruttura di OpenAI. Gli aggressori registrano un’organizzazione utilizzando un semplice account Gmail e, dopo aver inviato l’invito, assegnano alla vittima privilegi di Owner, il livello amministrativo più elevato disponibile all’interno della piattaforma. Una volta accettato l’invito, il dipendente entra a far parte di uno spazio di lavoro apparentemente aziendale, nel quale è presente soltanto un account controllato dagli aggressori che si presenta come amministratore o CEO dell’organizzazione impersonata. Per aumentare ulteriormente la credibilità, viene associata una carta Visa al sistema di fatturazione, così da consentire l’utilizzo delle funzionalità premium senza destare sospetti. L’obiettivo non consiste nell’installare malware, bensì nell’indurre gli utenti a utilizzare quel workspace come ambiente di lavoro quotidiano, inserendo nelle conversazioni con ChatGPT codice sorgente, documentazione interna, analisi di vulnerabilità, dati dei clienti, ricerche riservate e piani strategici. In questo modo gli aggressori possono raccogliere informazioni di elevato valore semplicemente sfruttando la normale operatività delle vittime.

Miasma espande gli attacchi alla supply chain attraverso npm

Parallelamente alla campagna Poisoned Tenant, i ricercatori hanno documentato una nuova evoluzione della famiglia di malware composta da Mini Shai-Hulud, Miasma e Hades, progettata per compromettere la supply chain del software open source. L’attacco prende di mira numerosi pacchetti npm appartenenti agli ecosistemi LeoPlatform e RStreams, oltre a un modulo Go utilizzato nel progetto Verana Blockchain. L’intrusione ha origine dalla compromissione dell’account di uno sviluppatore autorizzato alla pubblicazione dei pacchetti. Utilizzando il token del maintainer, gli aggressori hanno caricato versioni trojanizzate nell’arco di appena sei secondi, limitando drasticamente le possibilità di rilevamento durante la distribuzione. Tra i pacchetti interessati figurano componenti destinati all’autenticazione, all’integrazione con AWS, ai sistemi di caching, ai connettori per database come MongoDB, MySQL, Oracle, Elasticsearch e Redshift, oltre a librerie serverless e strumenti di raccolta metriche. L’impatto potenziale coinvolge workstation degli sviluppatori, infrastrutture cloud e pipeline CI/CD, con la possibilità di propagare ulteriormente l’infezione verso repository downstream.

Il malware utilizza binding.gyp e Bun per eseguire codice nascosto

Una delle caratteristiche più sofisticate di Miasma consiste nell’evitare i tradizionali hook di installazione presenti nel file package.json, spesso monitorati dagli strumenti di sicurezza. Il malware utilizza invece un file binding.gyp, normalmente impiegato nella compilazione di moduli nativi, per eseguire codice arbitrario durante l’installazione del pacchetto. Il loader JavaScript verifica la presenza del runtime Bun e, se necessario, lo scarica automaticamente prima di eseguire il payload principale. Quest’ultimo raccoglie credenziali, token di autenticazione e segreti presenti nell’ambiente di sviluppo, verificando contemporaneamente la presenza di software di sicurezza e implementando un killswitch basato sulla localizzazione geografica russa. Il malware distribuisce inoltre un workflow denominato Run Copilot, progettato per intercettare direttamente dalla memoria dei runner CI/CD segreti, token e credenziali temporanee. Le informazioni raccolte vengono quindi caricate su repository GitHub pubblici utilizzati come infrastruttura di esfiltrazione e comando, sfruttando marker aggiornati rispetto alle precedenti campagne, tra cui la stringa RevokeAndItGoesKaboom, utilizzata come nuovo meccanismo di relay.

GitHub Actions diventa vettore di propagazione del malware

L’operazione non si limita ai pacchetti npm, ma si estende anche ai workflow di GitHub Actions, aumentando sensibilmente la superficie di attacco. Il 24 giugno 2026 gli operatori hanno eseguito un force-push su un repository relativo all’azione codfish/semantic-release-action, reindirizzando i principali tag di versione verso un commit contenente codice malevolo. Tutti i workflow che facevano riferimento a quei tag hanno quindi eseguito automaticamente il payload, permettendo il furto di Personal Access Token, credenziali temporanee OIDC e altri segreti utilizzati durante la compilazione del software. Prima dell’esfiltrazione, i dati vengono cifrati mediante AES-128-GCM, mentre l’infrastruttura di comando utilizza GitHub come sistema dead-drop, effettuando controlli periodici sui commit contenenti la stringa firedalazer per recuperare nuovi payload della variante Hades. La propagazione interessa anche ambienti IDE, assistenti di coding basati su AI e repository Go, dimostrando una capacità di diffusione trasversale che coinvolge più ecosistemi software contemporaneamente.

Aziende e sviluppatori devono rafforzare il controllo della supply chain

Le campagne Poisoned Tenant e Miasma evidenziano come la moderna supply chain digitale non riguardi più soltanto pacchetti software compromessi, ma coinvolga qualsiasi piattaforma utilizzata per collaborare, sviluppare o condividere informazioni. Gli inviti fraudolenti a organizzazioni OpenAI sfruttano la fiducia riposta nei servizi SaaS per raccogliere dati altamente riservati senza distribuire malware, mentre Miasma dimostra quanto sia semplice trasformare un singolo account sviluppatore compromesso in un vettore capace di colpire migliaia di sistemi downstream. Le organizzazioni dovrebbero verificare attentamente ogni invito a workspace esterni, monitorare costantemente l’appartenenza dei dipendenti a tenant SaaS, applicare criteri rigorosi di gestione delle dipendenze software e controllare con continuità gli aggiornamenti dei workflow GitHub Actions. Parallelamente gli sviluppatori devono esaminare con attenzione i cambiamenti introdotti nei pacchetti utilizzati, verificare eventuali comportamenti anomali durante l’installazione e ruotare tempestivamente token e credenziali in presenza di qualunque indicatore di compromissione. L’abuso di infrastrutture perfettamente legittime rappresenta oggi una delle principali sfide della sicurezza informatica e rende indispensabile una difesa multilivello che combini monitoraggio continuo, verifica delle identità e controllo dell’intera catena di distribuzione del software.