Team MailSniper
Autore
Martedì mattina, 9:47. Marco, sviluppatore backend in una software house milanese, sta configurando un nuovo progetto AI. Ha bisogno di un connettore MCP — Model Context Protocol, lo standard open source che permette ai modelli linguistici di interagire con servizi esterni. Cerca su GitHub, trova un repository che sembra affidabile: stelle sufficienti, README curato, release recente. Clona il repo, segue le istruzioni, lancia l'installer.
Nessun allarme. Nessun antivirus che si agita. Il server si avvia regolarmente.
Quello che Marco non sa è che, in background, una componente del pacchetto ha già cominciato a rastrellare il suo sistema. Browser, password manager, wallet di criptovalute, cookie di sessione. Tutto trasmesso a un server di comando e controllo localizzato fuori dall'Unione Europea.
Non è un film. È la campagna SmartLoader, documentata dai ricercatori di sicurezza nelle ultime settimane, che ha preso di mira proprio quella nicchia di professionisti che si fidano dell'ecosistema degli strumenti AI open source: sviluppatori, ingegneri del software, team IT che integrano modelli LLM nei loro workflow aziendali.
L'attacco non è arrivato via email. Non è arrivato come phishing classico. È arrivato travestito da strumento professionale, in un settore dove la fiducia verso il codice open source è quasi dogmatica.
Per capire perché questo attacco funziona così bene, bisogna capire il contesto in cui è nato.
Il Model Context Protocol — MCP — è uno standard aperto sviluppato da Anthropic e adottato rapidamente dall'industria per permettere agli assistenti AI di connettersi a servizi e strumenti esterni. Un server MCP può dare a un LLM accesso al calendario, alla posta, a database aziendali, a file system locali. È, in sostanza, il sistema nervoso che collega i modelli linguistici al mondo reale.
Nel giro di pochi mesi, l'ecosistema MCP è esploso. Centinaia di server open source sono apparsi su GitHub, npm, PyPI. La comunità degli sviluppatori li condivide, li fork, li adatta. La velocità di adozione ha superato — come quasi sempre accade — la velocità con cui si sviluppano pratiche di sicurezza adeguate.
Oura Health è un'azienda finlandese nota per il suo smart ring, un dispositivo indossabile che monitora sonno, attività fisica e parametri biometrici. Ha un'API ben documentata e, naturalmente, qualcuno ha già scritto un server MCP per integrarla negli assistenti AI. Quel «qualcuno» è diventato il vettore dell'attacco.
Gli attori di SmartLoader hanno preso un server MCP legittimo associato a Oura, lo hanno modificato inserendo un dropper malevolo, e hanno distribuito la versione trojanizzata attraverso canali che ne mimano l'aspetto autentico. Il nome del repository, i metadati, la struttura del codice: tutto studiato per sembrare originale a un occhio non allenato.
Il bersaglio non è l'utente medio. È il professionista tecnico che valuta, installa e configura strumenti per sé e per la propria organizzazione. Quello che, una volta compromesso, porta l'attaccante non su un singolo computer ma dentro le infrastrutture aziendali.
I ricercatori hanno ricostruito la catena di infezione con una precisione quasi chirurgica. Vale la pena ripercorrerla passo dopo passo, perché ogni stadio rivela una scelta deliberata degli autori.
Fase 1 — Il dropper mascherato
Il pacchetto distribuito contiene codice MCP funzionante. Non è una trappola grossolana: il server gira, risponde, si comporta esattamente come ci si aspetta. Questa è la scelta più insidiosa dell'intera operazione. La vittima non ha motivo di sospettare perché l'utilità che cercava esiste davvero e funziona.
Nascosto tra le dipendenze o nei file di configurazione c'è SmartLoader: un loader modulare progettato per essere difficile da rilevare all'analisi statica. Si attiva solo dopo che il server è stato avviato correttamente, riducendo la probabilità di trigger durante eventuali sandbox automatiche.
Fase 2 — L'evasione
SmartLoader verifica l'ambiente prima di procedere. Controlla se è in esecuzione su una macchina virtuale, se ci sono strumenti di analisi attivi, se il sistema corrisponde ai parametri di un target reale. Se i controlli vanno bene, procede. In caso contrario, rimane dormiente — o si autoelimina senza lasciare tracce evidenti.
Questo comportamento è tipico del malware di fascia alta, progettato non per infettare quante più macchine possibile, ma per colpire selettivamente obiettivi di valore.
Fase 3 — Il payload: StealC
StealC è un infostealer commerciale apparso nel 2023, venduto come Malware-as-a-Service nei forum underground. È scritto in C, è compatto, e ha una lista di target impressionante: decine di browser (Chrome, Firefox, Edge, Brave e varianti), centinaia di estensioni per wallet di criptovalute, client email, applicazioni FTP, password manager. Raccoglie anche i cookie di sessione attivi, che permettono agli attaccanti di impersonare la vittima su piattaforme online senza conoscere le credenziali.
I dati vengono compressi, cifrati e inviati a un server C2 tramite HTTP. L'esfiltrazione avviene in pochi secondi. Anche se la macchina viene disconnessa dalla rete immediatamente dopo, i dati sono già fuori.
Fase 4 — La persistenza
In alcuni campioni analizzati, SmartLoader tenta di stabilire un meccanismo di persistenza: voci di registro su Windows, LaunchAgents su macOS. L'obiettivo è rimanere attivo anche dopo un riavvio, potenzialmente come vettore per attacchi successivi o per la distribuzione di ransomware nelle settimane seguenti.
Il canale di distribuzione
La distribuzione è avvenuta attraverso repository GitHub che imitavano progetti legittimi, potenzialmente amplificata da post in community Slack e Discord frequentate da sviluppatori AI. In alcuni casi i ricercatori hanno ipotizzato l'uso di SEO poisoning — tecniche per posizionare artificialmente i repository malevoli nei risultati di ricerca per query specifiche legate a MCP e Oura.
Quando un infostealer colpisce uno sviluppatore aziendale, il danno non si limita alle credenziali personali.
Pensate a cosa ha accesso un senior developer tipico: repository GitHub con codice proprietario, accesso SSH a server di produzione, credenziali per piattaforme cloud (AWS, Azure, GCP), token per API interne, accesso a sistemi CI/CD. In alcuni casi, le chiavi che permettono di pubblicare pacchetti software sui registry pubblici — il che trasforma la vittima in potenziale vettore di attacchi alla supply chain verso i suoi stessi utenti.
Le conseguenze economiche di una compromissione di questo tipo sono difficili da quantificare ma facili da immaginare: costi di incident response (tipicamente tra i 50.000 e i 200.000 euro per un'azienda di medie dimensioni), eventuali notifiche GDPR obbligatorie se sono stati coinvolti dati personali, possibili sanzioni, danno reputazionale verso clienti e partner.
E poi c'è il danno più subdolo: la finestra temporale tra la compromissione e la scoperta. Gli infostealer moderni non annunciano la loro presenza. Possono passare settimane o mesi prima che qualcuno si accorga di accessi anomali. Nel frattempo, le credenziali rubate vengono vendute, rivendute, usate.
La campagna SmartLoader ha una caratteristica che la rende particolarmente preoccupante: i bersagli sono professionisti tecnici, non utenti inesperti. Questo significa che le aziende colpite tendono ad avere infrastrutture più critiche e a essere meno inclini a ammettere pubblicamente la compromissione.
C'è una verità scomoda nel caso SmartLoader: la maggior parte degli strumenti di sicurezza tradizionali non avrebbe fermato questo attacco, almeno non nelle prime ore.
L'antivirus basato su firme? Il malware era abbastanza nuovo da non avere ancora signature aggiornate. Il firewall perimetrale? Il traffico uscente assomigliava a traffico HTTPS normale. Il filtro email? L'attacco non è passato per la posta.
La prima linea di difesa, in questo caso, è procedurale e culturale.
Vetting rigoroso delle dipendenze — Ogni pacchetto open source installato in un ambiente aziendale dovrebbe passare attraverso un processo di valutazione: chi è l'autore reale, da quanto tempo esiste il repository, ci sono segnalazioni nelle issue, il codice è stato revisionato da qualcuno di fiducia? Tool come npm audit, pip-audit e i controlli di sicurezza di GitHub possono aiutare, ma non sostituiscono una review umana per componenti critici.
Ambienti isolati per la sperimentazione — I professionisti che valutano nuovi strumenti dovrebbero farlo in ambienti dedicati, isolati dalla rete aziendale e dai sistemi di produzione. Una macchina virtuale usa-e-getta per testare codice di terze parti non è paranoia: è igiene.
Monitoraggio del traffico in uscita — Le soluzioni di Network Detection and Response (NDR) e i sistemi SIEM ben configurati possono rilevare pattern anomali di esfiltrazione: picchi di upload, connessioni verso IP reputazionalmente negativi, traffico verso destinazioni geograficamente inusuali.
Security Awareness per i team tecnici — Spesso la formazione sulla sicurezza è pensata per gli utenti non tecnici. I developer e i team IT vengono dati per scontati. È un errore: attacchi come SmartLoader dimostrano che sono bersagli primari, non bersagli immuni.
Sul fronte della protezione email — che rimane comunque il vettore principale per la distribuzione di link a repository malevoli e per le campagne di amplificazione — sistemi come MailSniper con analisi URL real-time e sandboxing degli allegati possono bloccare la componente di social engineering iniziale. Ma nessuno strumento è sufficiente da solo: la sicurezza è sempre una difesa in profondità.
Per chi vuole approfondire come strutturare una strategia di protezione integrata, la sezione Servizi e Prezzi offre un punto di partenza concreto per valutare le opzioni disponibili.
SmartLoader non è un attacco sofisticato nel senso tradizionale del termine. Non exploita zero-day. Non richiede ingegneria sociale elaborata. Sfrutta qualcosa di molto più difficile da patchare: la fiducia.
La fiducia che una community di sviluppatori ripone nell'open source. La fiducia che un professionista competente ha verso i propri strumenti. La fiducia che, se qualcosa funziona come ci si aspetta, allora è sicuro.
Mentre l'ecosistema AI cresce a una velocità che non ha precedenti — nuovi strumenti, nuovi protocolli, nuove integrazioni ogni settimana — quella fiducia diventa una superficie d'attacco sempre più ampia. La domanda che vale la pena porsi non è «siamo vulnerabili?», ma «siamo abbastanza lenti da fermarci a verificare prima di installare?»
In un settore dove la velocità è un valore, rallentare è un atto di sicurezza.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoAlle 3:47 di una notte qualsiasi, un analista scopre i dati di AstraZeneca su un forum underground. Dietro c'è TeamPCP, con una tattica rara: il doppio ransomware. Ecco come funziona l'attacco alla supply chain che ha messo in ginocchio due colossi
LeggiQuarantotto ore senza nuovi host compromessi. Per la campagna TeamPCP non è un segnale positivo: significa che il gruppo ha smesso di espandersi e ha iniziato a raccogliere. Analisi della fase di monetizzazione, TTPs e raccomandazioni operative per i team di sicurezza.
LeggiUn add-in malevolo per Microsoft Outlook ha sottratto oltre 4.000 credenziali aziendali. Analizziamo come funziona questo nuovo vettore di attacco, perché sfugge ai controlli tradizionali e quali contromisure adottare per proteggere la tua organizzazione.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.