Uno sviluppatore riceve un messaggio LinkedIn da un reclutatore. Il ruolo sembra legittimo. La valutazione della codifica richiede l’installazione di un pacchetto. Questo pacchetto fa trapelare tutte le credenziali cloud sul computer dello sviluppatore (token di accesso personale GitHub, chiavi API AWS, entità servizio di Azure e altro) e l’avversario entra nell’ambiente cloud in pochi minuti.
La tua sicurezza e-mail non l’ha mai visto. Lo scanner delle dipendenze potrebbe aver contrassegnato il pacchetto. Nessuno stava guardando cosa accadde dopo.
La catena di attacco sta rapidamente diventando nota come il perno della gestione delle identità e degli accessi (IAM) e rappresenta una lacuna fondamentale nel modo in cui le organizzazioni tengono traccia degli attacchi basati sull’identità. Ricerca di CrowdStrike Intelligence Il documento, pubblicato il 29 gennaio, documenta come i gruppi avversari stanno rendendo operativa questa catena di attacco su scala industriale. Gli autori delle minacce mascherano la distribuzione di pacchetti Python e npm contenenti trojan attraverso truffe di reclutamento e poi passano alla compromissione IAM del cloud completo dalle credenziali degli sviluppatori rubate.
In un incidente alla fine del 2024, gli aggressori hanno consegnato pacchetti Python dannosi a una società europea FinTech tramite trappole a tema onboarding, hanno violato configurazioni IAM cloud e hanno dirottato criptovaluta verso portafogli controllati dal nemico.
Il gateway di posta elettronica aziendale non viene mai toccato dall’ingresso all’uscita e non esistono prove digitali su cui procedere.
Nell’ultimo episodio di CrowdStrike Podcast dell’universo nemicoAdam Meyers, vicepresidente senior dell’intelligence e capo delle operazioni anti-avversario, ha spiegato la portata: più di 2 miliardi di dollari sono associati a operazioni di criptovaluta condotte da un’unità avversaria. Meyers ha spiegato che la valuta decentralizzata è l’ideale perché consente agli aggressori di eludere le sanzioni e il rilevamento contemporaneamente. Cristian Rodriguez, CTO di CrowdStrike per le Americhe, ha spiegato che il successo delle entrate porta alla specializzazione organizzativa. Quello che una volta era un unico gruppo di minacce si è frammentato in tre unità separate che prendono di mira obiettivi di criptovaluta, fintech e spionaggio.
Questo caso non è stato isolato. Agenzia per la sicurezza informatica e le infrastrutture (CISA) e società di sicurezza JFrog JFrog ha monitorato le campagne sovrapposte nell’ecosistema npm, rilevando 796 pacchetti compromessi in un worm autoreplicante che si diffondeva tramite dipendenze infette. La ricerca documenta inoltre la messaggistica WhatsApp come principale vettore di minaccia iniziale, in cui gli aggressori distribuiscono file ZIP dannosi contenenti applicazioni trojanizzate attraverso la piattaforma. La sicurezza della posta elettronica aziendale non blocca mai questo canale.
La maggior parte degli stack di sicurezza sono ottimizzati per un punto di ingresso che questi aggressori abbandonano completamente.
Quando la scansione delle dipendenze non è sufficiente
Gli avversari stanno modificando i loro vettori di ingresso in tempo reale. I pacchetti trojanizzati non arrivano tramite errori di battitura come in passato; Viene consegnato manualmente attraverso canali di messaggistica personali e piattaforme social non toccate dai gateway di posta elettronica aziendali. CrowdStrike ha documentato che gli aggressori hanno adattato esche a tema occupazionale a settori e ruoli specifici e ha osservato la distribuzione di malware personalizzato presso le aziende FinTech fino a giugno 2025.
La CISA lo ha documentato su larga scala A settembre, GitHub ha pubblicato un avviso su una diffusa violazione della catena di fornitura NPM che prendeva di mira token di accesso personali e chiavi API AWS, GCP e Azure. Il codice dannoso è stato scansionato alla ricerca di credenziali durante l’installazione del pacchetto ed esfiltrato in domini esterni.
La scansione delle dipendenze rileva il pacchetto. Questo è il primo controllo e la maggior parte delle organizzazioni lo possiede. Quasi nessuno di essi dispone della seconda funzionalità, ovvero il monitoraggio del comportamento in fase di esecuzione che rileva la fuga di credenziali durante il processo di installazione.
“Se si riduce questo attacco ai suoi elementi di base, non si tratta di una tecnica innovativa”, ha affermato Shane Barney, CISO di Keeper Security. analisi di una nuova catena di attacchi cloud. “Dipende da quanta poca resistenza offre l’ambiente una volta che l’aggressore ottiene un accesso legittimo.”
Gli avversari stanno migliorando nel creare centri letali e non tracciati
GoogleNuvola Rapporto sugli orizzonti delle minacce ha scoperto che credenziali deboli o mancanti rappresentavano il 47,1% degli incidenti cloud nella prima metà del 2025, con configurazioni errate che aggiungevano un altro 29,4%. Queste cifre sono rimaste stabili nei periodi di riferimento successivi. Questa è una condizione cronica, non una minaccia emergente. Gli aggressori con credenziali valide non hanno bisogno di sfruttare nulla. Stanno effettuando l’accesso.
Ricerca pubblicata all’inizio di questo mese ha mostrato esattamente quanto velocemente funziona questo perno. Sedativo ha documentato una catena di attacchi in cui le credenziali compromesse hanno ottenuto i privilegi di amministratore cloud in otto minuti, attraversando 19 ruoli IAM prima di enumerare i modelli AI di Amazon Bedrock e disabilitare la registrazione delle invocazioni dei modelli.
Otto minuti. Non è presente alcun malware. Nessun abuso. Solo credenziali valide e mancanza di fondamenti comportamentali IAM.
Ram Varadarajan, amministratore delegato Lenire, per dirla chiaramente: il ritmo delle violazioni è passato da giorni a minuti e la difesa da questa classe di attacchi richiede una tecnologia in grado di ragionare e reagire alla stessa velocità degli aggressori automatizzati.
Il rilevamento e la risposta alle minacce identità (ITDR) risolve questa lacuna monitorando il comportamento delle identità negli ambienti cloud, non solo se si autenticano correttamente. Bussola della leadership 2025 di KuppingerCole Uno studio condotto su ITDR ha rilevato che la maggior parte delle violazioni di identità ora provengono da identità non umane, ma esiste uno squilibrio nell’adozione dell’ITDR aziendale.
Morgan Adamski, vice leader del rischio informatico, dei dati e della tecnologia presso PwC Rivelare i rischi da una prospettiva operativa. Una corretta identificazione, anche tramite agenti IA, significa controllare chi può fare cosa alla velocità della macchina. Gli avvisi antincendio provenienti da ogni parte non saranno in grado di tenere il passo con la proliferazione multi-cloud e gli attacchi incentrati sull’identità.
Perché i gateway AI non fermano tutto ciò?
I gateway AI sono eccellenti nel convalidare l’autenticazione. Controllano se l’identità che richiede l’accesso a un endpoint del modello o a una pipeline di formazione dispone del token corretto e dei privilegi per il periodo di tempo definito dagli amministratori e dalle policy di governance. Non controllano se questa identità si comporta in modo coerente con la sua struttura storica o se esplora in modo casuale l’infrastruttura.
Si consideri uno sviluppatore che normalmente esegue una query su un modello di completamento del codice due volte al giorno, enumera improvvisamente ogni modello Bedrock nell’account e disabilita prima la registrazione. Un gateway AI vede un token valido. ITDR rileva un’anomalia.
UN. articolo del blog Da CrowdStrike sottolinea perché questo è importante in questo momento. I gruppi rivali che persegue si sono evoluti da furti di credenziali opportunistici a operatori di intrusione esperti di cloud. Stanno migrando direttamente dalle workstation degli sviluppatori compromesse alle configurazioni IAM cloud, configurazioni che gestiscono l’accesso all’infrastruttura AI. Gli strumenti condivisi tra diverse entità e il malware personalizzato per gli ambienti cloud suggeriscono che questo non è sperimentale. Industrializzato.
L’ufficio CISO di Google Cloud ha affrontato questo problema direttamente nei propri rapporti Previsioni sulla sicurezza informatica di dicembre 2025Sottolinea che i consigli di amministrazione ora si interrogano sulla resilienza aziendale contro gli attacchi alla velocità delle macchine. Gestire le identità sia umane che non umane è importante per ridurre i rischi derivanti dai sistemi non deterministici.
Non c’è alcun gap che separa l’IAM di calcolo dall’infrastruttura AI. Una volta compromessa l’identità cloud di uno sviluppatore, l’aggressore può accedere ai pesi dei modelli, ai dati di addestramento, agli endpoint di inferenza e agli strumenti a cui questi modelli sono collegati tramite protocolli come il protocollo di contesto del modello (MCP).
Questa connessione MCP non è più teorica. OpenClaw, un agente AI autonomo open source che ha raggiunto 180.000 stelle GitHub in una sola settimana, si connette a e-mail, piattaforme di messaggistica, calendari e ambienti di esecuzione di codice tramite MCP e integrazioni dirette. Gli sviluppatori lo installano sui computer aziendali senza controllo della sicurezza.
Il team di ricerca sulla sicurezza AI di Cisco definisce lo strumento “rivoluzionario” “Un incubo assoluto” dal punto di vista delle capacità e un “incubo assoluto” dal punto di vista della sicurezza, che riflette esattamente il tipo di infrastruttura intermediaria che un’identità cloud compromessa può raggiungere.
Gli effetti dell’IAM sono diretti. Dentro Un’analisi pubblicata il 4 febbraioIl CTO di CrowdStrike Elia Zaitsev ha avvertito: "Un’iniezione immediata di successo in un agente AI non è solo un vettore di perdita di dati. Questo è un potenziale fulcro per il movimento laterale automatizzato, in cui l’agente compromesso continua a perseguire gli obiettivi dell’aggressore attraverso l’infrastruttura."
L’accesso legittimo dell’agente ad API, database e sistemi aziendali diventa l’accesso dell’avversario. Questa catena di attacco non termina al punto finale del modello. Se dietro c’è un veicolo dell’agente, il raggio dell’esplosione si estende ovunque l’agente possa arrivare.
Dove ci sono lacune di controllo
Questa catena di attacco si divide in tre fasi, ciascuna con un gap di controllo separato e un’azione specifica.
Entrata: I pacchetti con trojan inviati tramite WhatsApp, LinkedIn e altri canali non email aggirano completamente la sicurezza della posta elettronica. CrowdStrike ha documentato iniziative a tema occupazionale specifiche per settori specifici, con WhatsApp come meccanismo di distribuzione principale. spazio: la scansione delle dipendenze rileva il pacchetto, ma non l’esfiltrazione delle credenziali di runtime. Azione consigliata: distribuisce il monitoraggio del comportamento in fase di runtime sulle workstation degli sviluppatori che contrassegna i modelli di accesso alle credenziali durante l’installazione del pacchetto.
Perno: Le credenziali rubate consentono l’assunzione di ruoli IAM invisibile alla sicurezza basata sul perimetro. Nel caso FinTech europeo documentato da CrowdStrike, gli aggressori sono passati direttamente da un ambiente di sviluppo compromesso alle configurazioni IAM cloud e alle risorse associate. spazio: non esiste una base comportamentale per l’utilizzo dell’identità cloud. Azione consigliata: Implementa ITDR, che tiene traccia del comportamento dell’identità negli ambienti cloud segnalando modelli di movimento laterale, come le 19 transizioni di ruolo documentate nella ricerca Sysdig.
Scopo: Il motore AI si basa sull’identità autenticata senza valutare la coerenza comportamentale. spazio: i gateway AI verificano i token ma non i modelli di utilizzo. Azione consigliata: implementa controlli di accesso specifici dell’intelligenza artificiale che associano le richieste di accesso del modello ai profili di comportamento dell’identità e impongono la registrazione che l’identità di accesso non può disabilitare.
Jason Soroko, ricercatore senior Sezione, identificato la causa principale: Non importa la novità dell’assistenza basata sull’intelligenza artificiale, è l’errore comune che la rende possibile. Le credenziali valide vengono visualizzate nei bucket S3 pubblici. Rifiuto ostinato di padroneggiare i fondamenti della sicurezza.
Cosa bisogna verificare nei prossimi 30 giorni?
Controlla il tuo stack di monitoraggio IAM rispetto a questa catena a tre fasi. Se si dispone della scansione delle dipendenze ma non del monitoraggio del comportamento in fase di esecuzione, è possibile che si rilevi il pacchetto dannoso ma si perda il furto di credenziali. Se autentichi le identità cloud ma non ne basi il comportamento, non vedrai il movimento laterale. Se il tuo gateway AI controlla i token ma non i modelli di utilizzo, una credenziale compromessa troverà la sua strada direttamente nei tuoi modelli.
L’ambiente non è più il luogo in cui si svolge questa lotta. L’identità è così.
