Security

Microsoft avverte sul malware Contagious Interview

3 min di lettura

Riepilogo

Microsoft ha avvertito che la campagna malware “Contagious Interview”, attiva almeno da dicembre 2022, sfrutta il processo di selezione degli sviluppatori con finti recruiter, repository di codice malevoli, pacchetti NPM trojanizzati e task abusivi di Visual Studio Code. La minaccia è particolarmente rilevante perché colpisce figure con accesso a codice sorgente, pipeline CI/CD, ambienti cloud e credenziali sensibili, trasformando normali colloqui tecnici in un vettore di compromissione per intere organizzazioni.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Le più recenti ricerche sulle minacce di Microsoft evidenziano un rischio crescente per le organizzazioni che impiegano sviluppatori software: gli attaccanti stanno ora abusando dello stesso processo di assunzione come vettore di accesso iniziale. La campagna Contagious Interview mostra come colloqui tecnici, coding challenge e contatti da parte di recruiter possano essere trasformati in strumenti per compromettere gli endpoint degli sviluppatori, che spesso hanno accesso a source code, pipeline CI/CD, ambienti cloud e secret privilegiati.

Cosa c’è di nuovo

Microsoft afferma che la campagna è attiva almeno da dicembre 2022 e viene ancora rilevata negli ambienti dei clienti. L’operazione prende di mira principalmente sviluppatori presso fornitori di soluzioni enterprise e aziende dei settori media e comunicazioni.

Le principali tattiche osservate includono:

  • Finti contatti da recruiter che si spacciano per aziende di criptovalute o AI
  • Repository di codice malevoli ospitati su GitHub, GitLab o Bitbucket
  • Pacchetti NPM trojanizzati utilizzati come parte di take-home assessment o coding test
  • Abuso dei task di Visual Studio Code, in cui considerare attendibile l’autore di un repository può attivare file di configurazione dei task malevoli
  • Comandi da copiare e avviare presentati come correzioni per problemi tecnici preparati ad arte su falsi siti di colloquio

Microsoft ha inoltre osservato diversi payload e backdoor associati alla campagna:

  • Invisible Ferret: una backdoor basata su Python utilizzata per esecuzione remota di comandi, ricognizione e persistenza
  • FlexibleFerret: una backdoor modulare disponibile in varianti Go e Python, con supporto per C2 cifrato, caricamento di plugin, esfiltrazione, persistenza e lateral movement

Perché è importante per gli amministratori IT

Questa campagna è degna di nota perché prende di mira gli utenti durante un processo aziendale ad alta fiducia e ad alta pressione. Gli sviluppatori hanno maggiori probabilità di eseguire codice, installare dipendenze o considerare attendibili i repository quando credono di partecipare a un colloquio legittimo.

Per i defender, il rischio è significativo:

  • Le macchine degli sviluppatori spesso archiviano API keys, cloud credentials, signing certificates e dati dei password manager
  • Endpoint compromessi possono portare a furto di source code, compromissione delle pipeline o accesso cloud più ampio
  • Gli attaccanti fanno affidamento su tooling e workflow legittimi, rendendo il rilevamento più difficile rispetto ai metodi tradizionali di distribuzione del malware

Prossimi passi consigliati

Le organizzazioni dovrebbero considerare i workflow di recruiting come parte della propria superficie di attacco.

Azioni immediate

  • Richiedere che coding test e take-home assignment vengano completati in ambienti isolati e non persistenti come VM usa e getta
  • Vietare l’esecuzione di codice fornito dai recruiter sulle workstation aziendali primarie
  • Esaminare qualsiasi repository esterno prima di eseguire script, task o installazioni di dipendenze
  • Formare gli sviluppatori a riconoscere segnali d’allarme come short link, nuovi account repo, passaggi di configurazione insoliti o richieste di considerare attendibili autori sconosciuti

Controlli di sicurezza da rivedere

  • Assicurarsi che tamper protection, AV in tempo reale e aggiornamenti degli endpoint siano abilitati
  • Limitare scripting e runtime come Node.js, Python e PowerShell ove possibile
  • Valutare application control per bloccare l’esecuzione dalle cartelle Download e temp
  • Monitorare pattern di download-and-execute, comportamenti sospetti dei repository e traffico in uscita verso host a bassa reputazione
  • Ridurre l’esposizione dei secret tramite credenziali a breve durata, archiviazione basata su vault e MFA

Contagious Interview ricorda che gli attacchi moderni sfruttano sempre più i workflow aziendali, non solo le vulnerabilità software. Per i team di sicurezza, proteggere gli sviluppatori significa ora mettere in sicurezza anche il processo di colloquio.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Experts and Microsoft Defender Security Research Team
SecurityMicrosoft Defendermalwaredeveloperssocial engineering

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.