Supply Chain Attack è un tipo di attacco informatico che prende di mira elementi meno sicuri nella supply chain di un'organizzazione piuttosto che attaccare direttamente l'organizzazione.
Indice
Attacco alla supply chain
Negli ultimi anni, gli attacchi alla supply chain hanno causato danni in tutto il mondo. Un attacco alla supply chain è un tipo di attacco informatico che prende di mira le relazioni affidabili tra le organizzazioni, utilizzando un partner compromesso come trampolino di lancio per infiltrarsi nell'altro. L'obiettivo è infiltrarsi nella rete o nei sistemi di un'organizzazione compromettendo un fornitore o un partner terzo che ha accesso ai suoi dati, software o infrastruttura di rete.
Il segno distintivo di un attacco alla supply chain è che consente agli aggressori di infiltrarsi indirettamente nei sistemi compromettendo prima parti meno sicure della supply chain di un'organizzazione, come i fornitori di terze parti. Poiché queste terze parti sono integrate nelle operazioni quotidiane, rende più facile per gli aggressori passare inosservati fino a quando non sono già stati fatti danni significativi.
Caratteristiche chiave degli attacchi alla supply chain
Approccio indiretto
Invece di attaccare direttamente l'organizzazione bersaglio, gli aggressori compromettono una terza parte fidata, come un fornitore di software, hardware o servizi. Questa terza parte diventa quindi un canale per consegnare il payload dannoso al target finale.
Complessità e scalabilità
Gli attacchi alla supply chain possono essere complessi, coinvolgendo più fasi e interessando un gran numero di organizzazioni. Gli aggressori possono inserire codice o hardware dannoso in diverse fasi della supply chain, rendendo difficile il rilevamento.
Sfruttamento della fiducia
Questi attacchi sfruttano le relazioni di fiducia tra un'organizzazione e i suoi fornitori. Poiché i fornitori di terze parti hanno spesso un accesso privilegiato ai sistemi o ai dati sensibili di un'organizzazione, diventano un obiettivo attraente per gli aggressori.
Impatto diffuso
L'impatto di un attacco alla supply chain può essere significativo e interessa non solo l'obiettivo primario, ma potenzialmente migliaia di altre organizzazioni che si affidano alla terza parte compromessa.
Tipi di attacchi alla supply chain
Gli attacchi alla supply chain possono essere classificati in tre tipi in base al loro punto di origine:
Attacchi alla supply chain del software
Un attacco alla supply chain del software comporta la compromissione dei processi utilizzati per sviluppare o distribuire software al fine di inserire codice dannoso nel software stesso o nei suoi programmi di aggiornamento. Ciò consente agli aggressori di infiltrarsi nelle organizzazioni bersaglio attraverso un software apparentemente legittimo.
I vettori di attacco comuni includono codice open source, strumenti di amministrazione del sistema e applicazioni di uso comune. Invece di violare direttamente un'azienda, gli aggressori in genere iniziano violando i sistemi di un'azienda di fornitori di software di terze parti che sviluppa il software o ne ospita i download. Da lì, sfruttano i server di aggiornamento o i canali di distribuzione per fornire versioni compromesse a utenti ignari.
Se il software compromesso è ampiamente utilizzato, l'aggressore può potenzialmente attivare un attacco su larga scala e ad alto impatto che colpisce numerose organizzazioni contemporaneamente.
Attacchi alla supply chain di servizi
Un attacco alla supply chain di servizi prende di mira i provider di servizi, come i Managed Service Provider (MSP), e utilizza il loro accesso affidabile per distribuire malware in più ambienti dei clienti.
Un esempio ben noto è l'attacco ransomware del 2021 che ha coinvolto Kaseya VSA, un servizio di gestione IT remoto. Gli aggressori hanno compromesso i provider di servizi gestiti che usavano Kaseya VSA e poi hanno diffuso il ransomware a molti dei loro clienti a valle. Poiché ai provider di servizi gestiti viene affidata la gestione e l'operatività delle reti client, gli aggressori possono utilizzarle come punti di distribuzione per malware come ransomware.
In questo caso, l'attacco ha sfruttato la natura dei servizi MSP, interessando sia i provider di servizi gestiti che utilizzano Kaseya VSA che i loro clienti, che si sono affidati a tali provider di servizi gestiti. L'impatto su larga scala è stato significativo, in quanto i report hanno stimato che fino a 1.500 aziende sono state colpite da attacchi ransomware.
Attacchi alla supply chain commerciale
Questi attacchi prendono di mira l’ecosistema più ampio di partner, fornitori e operatori logistici, per infiltrarsi nell’organizzazione principale.
La tecnica è ormai talmente diffusa da essere considerata una strategia standard.
Trend Micro osserva costantemente gruppi come Earth Hundun (BlackTech) e Earth Tengshe (collegato ad APT10), che prima compromettono le filiali estere e poi usano quell’accesso per infiltrarsi nelle sedi principali.
Categorie di attacchi alla supply chain
- Aggiornamenti software compromessi: Gli aggressori inseriscono codici malevoli negli aggiornamenti software distribuiti a un gran numero di utenti.
- Librerie software di terze parti compromesse: Inserimento di codice dannoso in applicazioni di terze parti o dipendenze integrate in prodotti software legittimi.
- Hardware o firmware compromesso: Inserimento di componenti hardware o firmware malevoli nei prodotti durante il processo di produzione o distribuzione.
- Dirottamento degli strumenti per sviluppatori: Compromissione degli strumenti utilizzati dagli sviluppatori, come gli ambienti di sviluppo integrati (IDE) o le pipeline di integrazione continua/distribuzione continua (CI/CD).
- Dipendenze software compromesse: Iniezione di codici malevoli in dipendenze software legittime ampiamente utilizzate.
- Esfiltrazione dei dati tramite protocolli sfruttati: Sfruttare le vulnerabilità in protocolli come SMB, TLS, SSH o mirare direttamente ai database attraverso metodi come SQL injection per esfiltrare i dati.
- Mirare a progetti open source: Attacco di progetti open source ampiamente utilizzati, inserimento di codici malevoli che possono influire su molti progetti a valle.
Esempi di attacchi alla supply chain
Node Package Manager (2025)
Il 15 settembre 2025, il repository Node Package Manager (NPM) ha subito un attacco continuo alla supply chain, in cui gli aggressori hanno eseguito una campagna di phishing altamente mirata per compromettere l'account di un gestore di pacchetti NPM. Con l'accesso privilegiato, gli aggressori hanno iniettato codice dannoso in pacchetti JavaScript ampiamente utilizzati, minacciando l'intero ecosistema software.
Risorsa: Attacco alla supply chain NPM
RockYou2024 (2024)
La fuga di password "RockYou2024", in cui quasi 10 miliardi di credenziali precedentemente compromesse sono state raccolte e pubblicate su un forum di hacking, evidenzia il significativo rischio della supply chain rappresentato dall'aggregazione, dal riutilizzo e dall'esposizione pubblica di credenziali violate su più piattaforme e servizi.
Risorsa: Quasi 10 miliardi di password tralasciate nella più grande raccolta di tutti i tempi
Modelli linguistici di grandi dimensioni (LLM) e chatbot pubblici (2024)
I chatbot pubblici basati su LLM possono inavvertitamente esporre informazioni interne sensibili condivise durante le interazioni, sfruttando la fiducia che le aziende ripongono in questi servizi IA, il che sottolinea i rischi di affidarsi a piattaforme IA esterne che potrebbero involontariamente far trapelare dati riservati attraverso i loro processi di apprendimento e interazione.
Risorsa: I chatbot personalizzati di OpenAI svelano i loro segreti
US National Public Data (2024)
La violazione è stata resa possibile dalle vulnerabilità di una proprietà gemella, RecordsCheck, che ha consentito agli aggressori di sfruttare le relazioni di fiducia tra i servizi correlati per accedere ai dati sensibili.
Compromissione del server PHP Git (2021)
Gli aggressori hanno compromesso il server Git di PHP, tentando di inserire una backdoor nel codice sorgente del popolare linguaggio di web scripting.
Risorsa: ZDNet su PHP Git Server Hack
Attacco SolarWinds (2020)
Gli aggressori si sono infiltrati nel meccanismo di aggiornamento del software Orion di SolarWinds, fornendo aggiornamenti malevoli a oltre 18.000 clienti, tra cui agenzie governative e grandi aziende.
Risorsa: Avviso CISA su SolarWinds
Come evolvono gli attacchi informatici nel 2025
Gli attacchi informatici stanno diventando sempre più estesi, complessi e impattanti. Dal ransomware al phishing, dagli attacchi alla supply chain agli exploit basati sull’intelligenza artificiale, gli aggressori si adattano costantemente per superare le difese e sfruttare le vulnerabilità. Comprendere queste evoluzioni è fondamentale per rafforzare le strategie digitali.
Rapporto sui Rischi Informatici 2025
Il nuovo report di Trend Micro analizza in profondità il panorama delle minacce in evoluzione, evidenziando nuovi vettori di attacco, modelli di rischio e raccomandazioni strategiche. Una lettura indispensabile per chi vuole anticipare la prossima ondata di attacchi informatici.
Difendersi dagli attacchi informatici con Trend Micro
Comprendere cosa sia un attacco informatico, che si tratti di ransomware, phishing o sfruttamento della catena di approvvigionamento, è solo il primo passo. Il successivo è costruire una strategia di difesa proattiva in grado di adattarsi alle minacce in evoluzione e proteggere l’organizzazione su endpoint, reti, ambienti cloud e sistemi email.
La piattaforma di cybersicurezza aziendale di Trend Micro, Trend Vision One, offre una protezione completa supportata da intelligenza artificiale, rilevamento e risposta estesi (XDR) e gestione dell’esposizione al rischio informatico. Consente ai team di sicurezza di rilevare, indagare e rispondere alle minacce in modo più rapido ed efficace, trasformando la visibilità in azione e il rischio in resilienza.
Jon Clay lavora nel settore della cybersecurity da oltre 29 anni. Jon sfrutta la sua esperienza nel settore per educare e condividere informazioni su tutte le ricerche e le informazioni sulle minacce pubblicate esternamente da Trend Micro.
Domande frequenti (FAQ)
Che cos’è un attacco alla supply chain?
Un attacco alla supply chain compromette fornitori fidati o software per colpire indirettamente organizzazioni tramite vulnerabilità presenti nei sistemi interconnessi.
Qual è l’obiettivo principale di un attacco alla supply chain?
L’obiettivo principale è ottenere accesso non autorizzato infiltrando fornitori affidabili, distribuendo codice dannoso o sfruttando vulnerabilità in molte organizzazioni.
Quali sono le fasi di un attacco alla supply chain?
Le fasi includono compromissione del fornitore, inserimento di componenti dannosi, distribuzione aggiornamenti alterati, infiltrazione dei clienti e mantenimento della persistenza operativa.
Quali sono i diversi tipi di attacchi?
I tipi includono compromissione software, manipolazione hardware, furto credenziali fornitori, abuso servizi esterni e manomissione dei meccanismi di aggiornamento.
Qual è un esempio reale di attacco alla supply chain?
Un esempio famoso è SolarWinds, dove aggiornamenti compromessi hanno consentito agli attaccanti di infiltrare agenzie governative e grandi aziende internazionali.
Come prevenire un attacco alla supply chain?
Previeni attacchi supply‑chain verificando fornitori, applicando controlli zero‑trust, monitorando integrità software, aggiornando patch e auditando ogni dipendenza applicativa.