Passa ai contenuti principali

PoC da GitHub: quando la prova di concetto diventa minaccia

Nel mondo del pentesting e del CTF, capita spesso di cercare proof-of-concept (PoC) su GitHub o altrove per testare vulnerabilità o comprendere meglio il funzionamento di un exploit. È una pratica comune, ma non sempre sicura. Purtroppo, alcuni PoC in circolazione sono stati deliberatamente confezionati per agire come dropper o malware, sfruttando l’ingenuità di chi li esegue senza verificarli.

Un caso recente riguarda un PoC apparentemente legittimo per la CVE-2023-3824, pubblicato su GitHub. Il codice sembrava valido, ma conteneva un payload offuscato che, una volta decompresso ed eseguito, scaricava da un repository remoto diversi binari tra cui un cryptominer e uno script shell persistente. Il tutto veniva installato nella directory ~/.local/bin, e avviato tramite un servizio systemd mascherato come Xsession Auth daemon.

Il repository remoto era ospitato su Codeberg, ma oggi risulta rimosso. Alcuni utenti si sono accorti del comportamento sospetto leggendo il codice o esaminando le issues del progetto. Altri, invece, hanno eseguito lo script prima di accorgersene. In alcuni casi, il dropper potrebbe non aver funzionato se il repository era già stato eliminato, ma il rischio resta concreto.

Questo tipo di episodi non è raro e dovrebbe ricordarci alcune semplici ma fondamentali regole operative:

  • Non fidarsi ciecamente dei PoC trovati online.

  • Leggere sempre il codice, anche se solo per capire se esegue comandi di rete o crea file sospetti.

  • Controllare issues, commenti, e fork del repository.

  • Eseguire il codice in ambienti virtualizzati, isolati e senza dati sensibili.

  • Tenere la rete disabilitata quando possibile.

  • Se si sospetta qualcosa, meglio eliminare e ricreare la VM da zero.

Nel mondo del testing, anche la fretta può diventare una vulnerabilità. Un PoC non verificato può compromettere l’ambiente di lavoro — o peggio. La prossima volta che vi trovate su Hack The Box, TryHackMe o simili, ricordate: la prudenza non è mai troppa.

Commenti

Popolari

Attacco informatico a MooneyGo, cosa sappiamo e cosa devono fare gli utenti

Il 22 agosto 2025 MooneyGo (ex myCicero), nota applicazione per la mobilità e i pagamenti digitali, ha comunicato ufficialmente ai propri utenti l’esito di ulteriori indagini riguardanti l’attacco informatico avvenuto tra marzo e aprile 2025. Cosa è successo Secondo quanto dichiarato dall’azienda, i sistemi sono stati colpiti da un attacco sofisticato che ha esposto alcuni dati personali degli utenti. MooneyGo ha subito presentato denuncia e ha avviato tutte le procedure di sicurezza, collaborando con l’Agenzia per la Cybersicurezza Nazionale (ACN) e con il Garante per la protezione dei dati personali. Quali dati sono stati coinvolti L’attacco avrebbe potuto compromettere: nome, cognome, email e numero di telefono degli utenti; eventuale codice fiscale o partita IVA; la password in versione crittografata (hash Bcrypt con salt a 128 bit e cost factor 11). Non sono stati esposti i dati delle carte di credito o di altri strumenti di pagamento. Perché la questione password è critica In una...

Apple rilascia iOS/iPadOS 18.6.2 e corregge una zero-day già sfruttata attivamente

Apple ha reso disponibile l’aggiornamento di sicurezza iOS e iPadOS 18.6.2 (rilasciato il 20 agosto 2025), che risolve una vulnerabilità zero-day critica nel framework Image I/O, già sfruttata in attacchi mirati riconosciuti come “estremamente sofisticati” verso specifici individui. La falla, identificata come CVE-2025-43300, riguarda una scrittura fuori dai limiti (“out-of-bounds write”): basta un’immagine malevola per corrompere la memoria, con potenziale esecuzione di codice dannoso. Gli aggiornamenti includono anche patch per altri sistemi Apple: oltre a iOS/iPadOS 18.6.2, sono stati rilasciati iPadOS 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 e Ventura 13.7.8. L’azienda ha migliorato i controlli sui limiti di memoria (“bounds checking”) per impedire lo sfruttamento della vulnerabilità. Apple ha sottolineato di essere a conoscenza di attacchi “estremamente sofisticati” che avrebbero sfruttato la falla. Gli analisti suggeriscono che tali campagne potrebbero implicare spyware evolu...

Linux e la trappola delle patch dimenticate, il blind spot che mette a rischio le aziende

Quando si parla di sicurezza informatica in ambienti Linux, il dibattito si concentra spesso sulla solidità del kernel e sull’affidabilità delle distribuzioni. Eppure, una delle minacce più insidiose non nasce da un exploit sofisticato o da un malware zero-day, ma da un problema ben più banale: le patch che arrivano tardi, o che non vengono mai applicate. Questo crea un vero e proprio “blind spot” nella sicurezza aziendale, una zona d’ombra in cui vulnerabilità già note restano aperte e sfruttabili. La notizia riportata da LinuxInsider e TechNewsWorld mette in evidenza una realtà che molti professionisti conoscono bene: la gestione incoerente delle patch è un tallone d’Achille. In troppi casi le organizzazioni faticano a mantenere processi di aggiornamento rapidi e centralizzati. L’automazione manca o è frammentata, i team IT devono mediare tra stabilità e sicurezza, e così la finestra di esposizione si allarga. Non serve un attaccante geniale per sfruttare queste falle: basta monitora...