CybersecurityCVE-2026-7482: con tre chiamate API la vulnerabilita Ollama 2026 Bleeding Llama leakka memoria e token da 300k server esposti. Patch e mitigazioni.
CybersecurityLa Commissione Europea ha lanciato un'app per la verifica dell'età online. Un esperto di sicurezza l'ha bypassata in meno di 2 minuti con un editor di testo. Non è un bug: è il sistema.
16 marzo 2026 · 7 min lettura
OpenHuman si vende agente AI self-hosted privacy-first, ma il .env manda chat e integrazioni nel cloud: cosa regge come assistente AI locale open source.
Iscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
GlassWorm è il primo worm auto-propagante via estensioni VS Code: 35.800 macchine infettate in 7 mesi usando caratteri Unicode invisibili nascosti nel codice sorgente. Rubava credenziali AWS, token GitHub, chiavi SSH e wallet crypto — zero rilevamenti su VirusTotal. Colpisce VS Code, VSCodium e code-server. Per verificare subito: npx anti-trojan-source --files='**/*.{js,ts}'.
Nel novembre 2021, Nicholas Boucher e Ross Anderson di Cambridge pubblicarono Trojan Source: un paper che dimostrava come caratteri Unicode — variation selectors e zone Private Use Area — potessero rendere il codice sorgente visivamente diverso da ciò che il compilatore effettivamente legge. Il paper fu acclamato, citato, presentato alle conferenze. E poi? Niente. L'industria lo ha registrato come curiosità accademica e ha continuato a fare le stesse identiche cose. Zero firma crittografica obbligatoria sui pacchetti, zero sandboxing reale nelle estensioni, zero revisione umana nei marketplace.
GlassWorm non ha inventato nulla — ha semplicemente weaponizzato una tecnica pubblica che tutti hanno scelto di ignorare.
Sbagliato.
Nel giugno 2025 (disclosure iniziata il 4 maggio), Koi Security ha divulgato pubblicamente che Open VSX aveva una vulnerabilità di takeover totale — chiunque poteva prendere il controllo dell'intera piattaforma, mettendo a rischio milioni di macchine sviluppatore. GlassWorm è arrivato cinque mesi dopo. Il mito che open source significhi automaticamente più sicuro è uno dei più persistenti e pericolosi del nostro settore, e chi usa code-server o VSCodium convinto di essere al riparo dal marketplace Microsoft si è seduto esattamente nel mezzo del bersaglio.
I caratteri coinvolti sono Variation Selectors (U+FE00–U+FE0F) e la zona Private Use Area (U+E0100–U+E01EF). Invisibili in editor, terminale, diff tool, linter. Come ha sintetizzato il team di Snyk: per un developer che fa code review sono righe vuote; per l'interprete JavaScript sono codice malevolo eseguibile. Il payload viene decodificato con una chiamata a Buffer.from() dove la stringa sorgente appare completamente vuota — spazi bianchi che il runtime interpreta come istruzioni. VirusTotal: zero rilevamenti. Quattro giorni sul marketplace prima che qualcuno se ne accorgesse.
L'infrastruttura di comando e controllo è a tre livelli, costruita per resistere ai takedown:
Una volta installato, il modulo ZOMBI trasforma la macchina in un nodo criminale: SOCKS proxy, WebRTC P2P per aggirare il firewall, BitTorrent DHT per comandi decentralizzati, Hidden VNC che non appare nel Task Manager. La tua workstation — o la tua homelab con code-server — diventa infrastruttura di qualcun altro senza che tu lo sappia.
Tra gennaio e marzo 2026, Socket Research ha identificato 72 estensioni Open VSX compromesse tramite transitive dependency abuse. Il meccanismo è elegante nella sua perfidia: estensioni inizialmente pulite che accumulano utenti e fiducia per settimane, poi aggiornate aggiungendo dipendenze su pacchetti separati contenenti il loader GlassWorm. I campi extensionPack e extensionDependencies — funzionalità native del formato vsix — vengono usati esattamente come previsto dalla specifica. L'editor installa tutto senza fiatare.
Tra il 3 e il 9 marzo: 151 repository GitHub infettati con Unicode invisibile. I commit erano indistinguibili da contributi legittimi — documentazione, version bumps, piccoli refactor. Ilyas Makari di Aikido Security ha confermato che le modifiche circostanti erano probabilmente generate con un LLM, "realistiche e stilisticamente coerenti col progetto target". Il vettore di scrittura era ForceMemo: token GitHub rubati per force-push che preserva autore, timestamp e messaggio del commit originale. Nessuna pull request visibile, nessun alert.
code-server usa Open VSX come marketplace predefinito. VSCodium usa Open VSX. Se hai un'istanza code-server sulla tua rete locale — e se stai leggendo homelabz.cc, probabilmente ce l'hai — sei stato esposto direttamente a tutte e tre le ondate senza passare per il marketplace Microsoft.
Le credenziali GitHub rubate da un ambiente homelab non sono credenziali di poco conto. Sono le stesse che accedono ai repository con l'IaC, alle pipeline CI/CD, alle configurazioni Cloudflare, ai database. (Stavo per scrivere che il rischio è contenuto per chi segmenta la rete. Poi ho controllato il mio code-server e ho trovato tre estensioni che non ricordavo di aver installato. Non erano infette — ma il processo di verifica ha rivelato quanto sia facile perdere il controllo.)
Su come difendersi dagli attacchi supply chain nei tool di sviluppo, ne avevamo già parlato analizzando come Hackerbot-Claw ha smontato Trivy in 37 ore — il vettore è diverso, la superficie di rischio è la stessa.
GlassWorm non è un'anomalia — è la conseguenza logica di un modello di distribuzione software che ha scelto la comodità sulla verifica. Nessun marketplace ha firma crittografica obbligatoria, nessuno ha sandboxing reale, nessuno ha revisione umana scalabile. La tecnica Trojan Source era pubblica dal 2021. L'industria ha avuto cinque anni per agire e ha scelto di non farlo. GlassWorm è il conto di quella scelta. E il modello non è cambiato: la prossima variante arriverà con lo stesso meccanismo.
GlassWorm è il primo worm auto-propagante per VS Code: sfrutta caratteri Unicode invisibili (Variation Selectors U+FE00–U+FE0F) per nascondere codice malevolo nelle estensioni. Ha infettato 35.800 macchine in 7 mesi senza rilevamenti su VirusTotal, rubando credenziali AWS, token GitHub, chiavi SSH e wallet crypto. L’infrastruttura C2 usa la blockchain Solana — impossibile da bloccare.
Esegui npx anti-trojan-source --files='**/*.{js,ts}' per scansionare le dipendenze. Usa puant per rilevare caratteri Unicode PUA. Controlla le estensioni installate: quelle che non ricordi di aver aggiunto sono sospette. Aggiungi un grep sui range U+E0100–U+E01EF al CI/CD — nessuna codebase legittima usa questi caratteri.
Sì, in modo diretto. VSCodium e code-server usano Open VSX come marketplace predefinito — il vettore principale di GlassWorm. Chi ha code-server nella propria homelab è stato esposto a tutte e tre le ondate dell’attacco senza passare per il marketplace Microsoft. La vulnerabilità di takeover totale di Open VSX (disclosure giugno 2025) aveva già aperto la porta cinque mesi prima della prima infezione.
Imposta una whitelist di estensioni per ID (non per nome, facilmente spoofabile) e disabilita gli aggiornamenti automatici. Per code-server: usa un’immagine container con estensioni pre-installate e verificate, senza accesso diretto al marketplace in produzione. Aggiungi l’anti-trojan-source check al CI/CD. Se sei in scope NIS2, un’infezione da supply chain richiede notifica entro 24 ore.
Fonti: Koi Security, Aikido Security, Socket Research, The Hacker News, SecurityWeek, Snyk