Nel mondo della cybersecurity siamo abituati a dare la caccia ai mostri: APT, 0-day, malware super avanzati, ransomware con countdown da film di Hollywood. Ma intanto, nei corridoi silenziosi del codice sorgente, si consumano le vere tragedie. Silenziose, costanti, banali. Repository Git pieni zeppi di credenziali, token, chiavi API e variabili di ambiente spiattellate come fosse la bacheca dell’oratorio.

La notizia la riporta The Hacker News: una nuova campagna di attacchi, soprannominata “The Unusual Suspect”, sfrutta repository Git pubblici e privati per accedere ad ambienti cloud, pipeline CI/CD e database interni, con una facilità che fa più paura di un exploit zero-click. Non c’è magia nera. Non c’è necessità di brute force o social engineering. Serve solo un po’ di pazienza, un motore di ricerca, e… la dabbenaggine di chi commit(a) i segreti senza pensarci due volte.

Il codice è il nuovo perimetro. Ma qualcuno non ha ricevuto la notifica.

L’attacco si basa su una verità semplice, ma devastante: i repository Git sono ormai il centro di gravità permanente del software moderno. Contengono tutto. Codice, configurazioni, log, cronjob, script bash di provisioning, playbook Ansible. E in mezzo a tutta questa roba, spesso ci scappano – anzi, ci cascano – anche file .env, chiavi SSH, config.yml con hardcoded credentials e token OAuth lasciati lì “per fare prima”.

Gli attaccanti lo sanno bene. E lo sfruttano. Con tool automatizzati che scandagliano milioni di repo alla ricerca di stringhe sospette, API key note, access token e pattern classici (AKIA..., ghp_..., eyJhbGciOi...). Appena trovano l’ingresso, entrano. E non bussano.

Il caso tj-actions/changed-files: 23.000 repo esposti, nessuna pietà

A marzo 2025 esplode uno dei casi più eclatanti dell’anno. Una GitHub Action molto usata — tj-actions/changed-files — viene modificata da un attaccante che ha trafugato un GitHub PAT. La nuova versione? Una trappola perfetta: stampa nei log tutte le secrets disponibili nel runner CI/CD. Tutte. E quei log, tanto per gradire, sono pubblici.

Risultato? Migliaia di repository, aziende e sviluppatori si sono ritrovati con le mutande digitali abbassate in piazza. Le loro chiavi AWS, token GCP, PAT GitHub, chiavi Stripe o Twilio… tutte lì, nei log. A disposizione di chiunque sapesse cosa cercare. E gli attaccanti hanno cercato. Eccome se hanno cercato.

L’obiettivo? Non tanto la Action in sé, ma i progetti target che ne facevano uso. Come coinbase/agentkit. Sì, proprio Coinbase. Non stiamo parlando della startup sotto casa.

Non è un problema tecnico. È un problema culturale.

La cosa che fa più rabbia non è l’attacco in sé, ma quanto fosse evitabile. Bastava usare l’hash del commit anziché il tag v4. Bastava fare secret scanning prima del push. Bastava configurare correttamente i permessi delle GitHub Actions. Ma no. Il Dev scrive, commit(a), push(a) e via andare. “Ci penserà qualcun altro a fare la security”. Ecco, news flash: quel qualcun altro non c’è. E quando l’attacco arriva, è sempre troppo tardi.

Qui non serve un patch di sicurezza. Serve una riscrittura del DNA operativo. I repo vanno trattati come asset critici. Le pipeline come potenziali vettori d’attacco. I file .env devono sparire dai commit come le password scritte sui post-it. E i dev devono capire che non sono solo coder, ma i primi difensori dell’infrastruttura.

La CI/CD è il nuovo campo minato

La vera bomba di questi attacchi non è solo l’ingresso iniziale. È ciò che succede dopo. Perché attraverso la CI/CD, l’attaccante può fare praticamente tutto: modificare gli artefatti, inserire backdoor, distribuire payload nei container, creare persistenza nei Lambda, oppure fare exfiltration tranquillo via S3. Tutto questo passando per runner CI pubblici, spesso non monitorati, senza EDR, senza SIEM, e con più privilegi di quanto dovrebbe avere un pentester col cappello bianco.

Se lasci il cancello della pipeline aperto, l’attacco è solo una questione di tempo.

La realtà? È che in troppi stanno dormendo

In questo momento, ci sono migliaia di repository Git con chiavi valide committate. Alcune da sviluppatori freelance che non hanno idea del rischio. Altre da aziende grandi, blasonate, piene di certificazioni ISO e badge SOC2 sul sito. Tutti convinti che “tanto chi vuoi che ci guardi?”. Ma gli attaccanti guardano. E guardano molto più in profondità di quanto crediate.

Questa non è paranoia. È cronaca. E se non iniziamo a trattare i repository come asset strategici, finiranno per essere l’anello debole che ci farà crollare addosso tutta l’impalcatura.

Conclusione

Questa storia ci insegna una cosa: la sicurezza moderna non ha bisogno di eroi, ma di disciplina. Di processi. Di controlli. Di cultura. Perché oggi, più che mai, un semplice git push può diventare l’inizio della fine.

Il nemico non bussa più alla porta. Passa dal repository.

L'articolo The Unusual Suspect: quando i repo Git aprono la porta sul retro proviene da il blog della sicurezza informatica.

La ragazza senza nome
12 agosto 1949. Nirim, deserto del Negev, Palestina.
I militari israeliani ricevono un ordine scritto dal comando: "Dovete sparare per uccidere ogni arabo nel vostro settore".
La caccia al palestinese è aperta.

La zona è inospitale, vivono solo due tribù beduine palestinesi, i militari dell'IDF scorgono un uomo e una ragazzina, mirano all'uomo e lo uccidono.
La ragazzina viene rapita, portata nell'avamposto militare e rinchiusa in una baracca.

Lungo la strada incontrano una mandria di cammelli al pascolo.
Il convoglio si ferma, i militari scendono dai mezzi, estraggono le armi e aprono il fuoco. Sessanta cammelli vengono uccisi a colpi di mitra.

È sera. I militari sono a cena, tre lunghe tavolate.
Entra il comandante dell'avamposto, il sottotenente Moshe, ha una proposta per i soldati: "Abbiamo un'araba nella baracca, lascio a voi la scelta, volete che diventi la nostra cuoca o la nostra schiava sessuale?"
Scrive Haaretz "I militari rispondono entusiasti, sco-pa-re, sco-pa-re".

Stabiliscono i turni: prima gli ufficiali, poi i soldati. Gli autisti degli ufficiali protestano "vogliamo partecipare anche noi!"
"Calma" dice il comandante "verrà anche il vostro turno, come anche per il cuoco, l'infermiere e il medico"

Il comandante ordina di prelevare la ragazzina e di tagliarle i capelli.
La conduce nella doccia, la lava con le sue mani e la stupra davanti ai soldati che osservano.

L'idea piace a un altro ufficiale che decide di stuprarla allo stesso modo.
La ragazzina viene stuprata per tre lunghi giorni da 20 militari dell'IDF.

La storia della ragazzina palestinese stuprata a turno la conoscono in tanti, troppi, la voce arriva a Ben-Gurion, che ordina di riportarla nel villaggio da dove era stata rapita.

Ma le condizioni di salute della ragazzina sono gravissime, ha perso conoscenza, ha bisogno di cure urgenti.
Alcuni militari, su ordine del comandante dell'avamposto, contraddicendo agli ordini di Ben-Gurion, la caricano su una jeep, la portano nel deserto e la uccidono con un colpo al cuore.
Scavano una buca, scoppia una lite tra i militari, nessuno vuole più scavare, la buca è di soli 30 cm, la gettano dentro, la cospargono di benzina e la ricoprono con la sabbia del deserto.

Ben-Gurion va su tutte le furie, un sottotenente non ha eseguito un suo ordine. Decide di dargli una lezione.
Pretende che venga processato in segreto da una corte marziale per stupro e omicidio e che gli atti del processo vengano secretati.
Il comandante dell'avamposto viene condannato a 16 anni, gli altri militari stupratori, compreso gli esecutori dell'omicidio, a pene simboliche.

Gli atti processuali verranno desecretati solo nel 2003, visionati da alcuni storici e pubblicati da Haaretz, poi dal Guardian.

Cito due episodi agghiaccianti emersi dagli atti processuali:
• viene rilevata l'impossibilità di dare un nome alla ragazza poiché "nessuno dei soggetti con cui ha avuto contatto ha chiesto il suo nome";
• L'età della ragazza è incerta in quanto "alcuni militari riferiscono che avesse 18-19 anni, altri 13-15, altri ancora, 10 anni" (!)

Lo storico israeliano Benny Morris, intervistato da Haaretz su questa vicenda, ha affermato che, durante le sue ricerche negli archivi militari israeliani è rimasto "sorpreso dalla quantità di casi di stupro" "molti dei quali si concludono con l'omicidio della vittima"

* Fonti : vari articoli di Haaretz (consultabili in un unico link), Al-Arabiya, Diario di Ben Gurion

_____________________________
facebook.com/share/1B3unBqsnF/