Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
La settimana della sicurezza: allucinazioni dell'intelligenza artificiale legate al rischio della catena di fornitura del software, correzione CI ritenuta critica
Home » Calendario Editoriale » Sicurezza della catena di fornitura del software » La settimana della sicurezza: allucinazioni dell'intelligenza artificiale legate al rischio della catena di fornitura del software, correzione CI ritenuta critica
Benvenuti all'ultima edizione di The Week in Security, che vi offre i titoli più recenti sia dal mondo che dal nostro team sull'intero spettro della sicurezza: sicurezza delle applicazioni, sicurezza informatica e altro ancora. Questa settimana: le allucinazioni di ChatGPT rappresentano una minaccia per la catena di fornitura del software. Inoltre: un gruppo di controllo incaricato dal Congresso ritiene che la Casa Bianca debba intensificare il proprio impegno nel garantire la sicurezza delle infrastrutture critiche.
I ricercatori del team di ricerca Voyager18 di Vulcan Cyber hanno scoperto che gli autori delle minacce possono sfruttare le false raccomandazioni di ChatGPT per diffondere codice dannoso tramite gli sviluppatori che si affidano allo strumento. Questa scoperta pone un rischio immenso per le catene di fornitura del software, in quanto codice dannoso e trojan possono essere accidentalmente inseriti dagli sviluppatori nelle applicazioni e nei repository di codice open source. Questi repository, come npm e PyPI, hanno già registrato un notevole aumento degli attacchi sulle loro piattaforme e questo nuovo rischio associato a ChatGPT non farà altro che peggiorare il problema.
I ricercatori ritengono che gli autori delle minacce possano sfruttare le cosiddette "allucinazioni dei pacchetti AI" per creare pacchetti consigliati da ChatGPT che sono in realtà dannosi. Le allucinazioni in questo scenario sono definite come risposte effettive dell'IA che sono insufficienti, distorte o false. Ciò si verifica perché ChatGPT utilizza fonti provenienti da Internet, anche quelle errate e dannose, per generare risposte per gli utenti.
Gli aggressori possono sfruttare questa situazione a proprio vantaggio pubblicando la propria versione dannosa di un pacchetto software suggerito creato da ChatGPT. La speranza dell'aggressore è che ChatGPT adotti poi il pacchetto dannoso come fonte, fornendolo come raccomandazione agli sviluppatori che utilizzano la macchina AI. Gli sviluppatori che scaricano inavvertitamente questi pacchetti dannosi tramite ChatGPT possono utilizzarli sia in progetti privati che in repository open source, causando potenziali rischi per un numero infinito di catene di fornitura di software.
Dal rilascio di ChatGPT nel novembre 2022, è diventato uno strumento popolare sia per gli sviluppatori che per gli autori di minacce. Ciò ha costretto la comunità della sicurezza informatica a fare i conti con il modo in cui l’intelligenza artificiale potrebbe cambiare drasticamente il modo in cui dovremmo proteggere al meglio i nostri sistemi e le nostre catene di approvvigionamento.
Ecco le storie a cui prestiamo attenzione questa settimana...
Le politiche del governo statunitense progettate per proteggere le infrastrutture critiche dagli hacker sono tristemente obsolete e inadeguate a salvaguardare settori come l’acqua e i trasporti dalle minacce informatiche, ha affermato un influente gruppo di esperti incaricato dal Congresso.
Il gruppo Clop, una banda di criminali informatici con sede in Russia, ha lanciato "un ultimatum" alle aziende del Regno Unito e di altri paesi che sono state prese di mira in un recente hacking su larga scala dei dati sui salari. I dati sui libri paga di oltre 100.000 dipendenti sono stati rubati da aziende tra cui BBC, British Airways e altre.
L'autore della minaccia statale nordcoreana noto come Kimsuky è stato collegato a una campagna di ingegneria sociale rivolta a esperti in affari nordcoreani con l'obiettivo di rubare le credenziali di Google e diffondere malware da ricognizione. La rivelazione arriva pochi giorni dopo che le agenzie di intelligence statunitensi e sudcoreane hanno lanciato un avvertimento sull'uso da parte di Kimsuky di tattiche di ingegneria sociale per colpire think tank, mondo accademico e settori dei media.
La banda del ransomware Royal ha iniziato a testare un nuovo crittografo chiamato BlackSuit che condivide molte somiglianze con il normale crittografo dell'operazione. La banda è stata lanciata nel gennaio 2023 e si ritiene che sia il diretto successore della famigerata operazione Conti, conclusasi nel giugno 2022.
Nell'edizione della scorsa settimana abbiamo riportato la recente scoperta di una falla nella posta elettronica di Barracuda lasciata aperta per mesi. Ora, l’azienda sta dicendo ai clienti di sostituire immediatamente i dispositivi Email Security Gateway (ESG) compromessi, anche se hanno installato tutte le patch disponibili.