Marvin Pascale

Marvin Pascale

[B.Log]

12 Marzo 2026

Quando il codice diventa invisibile

Codice nascosto Negli ultimi anni gli ecosistemi di estensioni per editor e IDE sono diventati una parte fondamentale del workflow degli sviluppatori. Marketplace come quelli di VS Code o OpenVSX permettono di installare con un click strumenti che migliorano produttività, integrazioni e automazioni.

Ma questa comodità porta con sé anche una superficie di attacco enorme.

Recentemente il mondo della sicurezza ha iniziato a discutere di una nuova categoria di minacce: codice malevolo difficile da vedere anche quando è pubblicamente disponibile. Non stiamo parlando semplicemente di offuscamento o minificazione, ma di tecniche molto più sottili che sfruttano caratteristiche del linguaggio e dell’ecosistema per nascondere comportamenti pericolosi.

In questo articolo voglio approfondire un concetto interessante: il malware basato su codice “invisibile” e auto-propagante negli ecosistemi di sviluppo.

L’ecosistema delle estensioni: un vettore di attacco perfetto

Chi usa VS Code o editor simili sa bene quanto le estensioni siano centrali nell’esperienza di sviluppo:

  • linters
  • formattatori
  • integrazioni con cloud
  • client git avanzati
  • strumenti DevOps

Molti sviluppatori installano decine di estensioni senza pensarci troppo. Questo succede perché il modello di fiducia è implicito:

  1. il marketplace sembra affidabile
  2. l’estensione ha molte installazioni
  3. il codice è open source (spesso)

Il problema è che questo modello di fiducia è fragile.

Le estensioni hanno accesso a:

  • filesystem locale
  • workspace del progetto
  • token e configurazioni
  • terminale integrato
  • API dell’editor

In pratica possono diventare un punto di ingresso ideale per attacchi alla supply chain.

Il concetto di codice invisibile

Una tecnica sempre più discussa consiste nell’inserire nel codice sorgente caratteri Unicode non visibili o ambigui.

Alcuni esempi:

  • Zero-width characters
  • Bidirectional override
  • caratteri che sembrano identici ma non lo sono

Per un essere umano che legge il codice, queste sequenze risultano indistinguibili.

Per il compilatore o l’interprete, invece, cambiano completamente il comportamento del programma.

Un esempio semplificato:

if (isAdmin) {
  grantAccess();
}

Potrebbe sembrare innocuo, ma con determinati caratteri invisibili si può alterare il flusso logico senza che il codice appaia diverso nel rendering dell’editor.

Questo tipo di attacco rientra nella famiglia dei cosiddetti trojan source.

Il problema è duplice:

  • il codice passa facilmente le code review
  • gli strumenti di analisi statica spesso non lo rilevano

Dal codice nascosto al worm

Fin qui parliamo di offuscamento avanzato. Ma cosa succede quando questo codice non si limita a eseguire un payload, ma si replica?

Qui entra in gioco il concetto di worm auto-propagante all’interno degli ecosistemi di sviluppo.

Un possibile scenario:

  1. uno sviluppatore installa un’estensione compromessa
  2. l’estensione esegue codice nascosto
  3. il codice modifica altri progetti locali
  4. il malware si inserisce in nuovi pacchetti o estensioni
  5. questi vengono pubblicati o condivisi

Il risultato è una propagazione nella supply chain.

Non è molto diverso da quello che succede negli attacchi su:

  • npm
  • PyPI
  • RubyGems

ma qui il vettore è l’IDE stesso.

Il ruolo di OpenVSX e dei marketplace alternativi

Molti ambienti open source, tra cui diverse distribuzioni Linux o progetti come VSCodium, utilizzano OpenVSX come alternativa al marketplace ufficiale di Microsoft.

OpenVSX nasce con l’obiettivo di offrire un repository di estensioni completamente open source e compatibile.

Questo approccio è molto positivo, ma introduce anche alcune sfide:

  • moderazione più complessa
  • numero crescente di estensioni
  • difficoltà nell’analisi automatica del codice

Il problema non è il marketplace in sé, ma la scala del sistema.

Quando hai migliaia di pacchetti caricati da sviluppatori di tutto il mondo, diventa difficile individuare comportamenti malevoli sofisticati.

Supply chain e fiducia implicita

Negli ultimi anni abbiamo visto diversi incidenti legati alla supply chain del software:

  • pacchetti npm compromessi
  • dipendenze con codice malevolo
  • takeover di repository abbandonati

Gli IDE stanno diventando un nuovo anello di questa catena.

Un’estensione può:

  • leggere il contenuto dei repository
  • accedere ai token git
  • manipolare script di build
  • modificare configurazioni CI/CD

In altre parole, può diventare il punto di partenza di un attacco molto più grande.

Come difendersi

Non esiste una soluzione unica, ma ci sono alcune buone pratiche che possono ridurre il rischio.

1. Ridurre il numero di estensioni

È banale, ma spesso ignorato.

Molti sviluppatori accumulano estensioni negli anni senza mai rimuoverle.

Meno estensioni = meno superficie di attacco.

2. Preferire progetti mantenuti attivamente

Guardare sempre:

  • repository GitHub
  • ultimi commit
  • numero di maintainer
  • issue aperte

Un progetto abbandonato è molto più facile da compromettere.

3. Analizzare il codice delle estensioni critiche

Se un’estensione ha accesso a:

  • credenziali
  • filesystem
  • automazioni

vale la pena dargli almeno una lettura veloce.

Non serve fare un audit completo, ma capire:

  • cosa esegue all’avvio
  • quali dipendenze usa
  • se scarica codice remoto

4. Usare ambienti isolati

Per progetti sensibili può avere senso:

  • usare container
  • usare VM
  • separare ambienti di sviluppo

Un’estensione compromessa avrà molto meno impatto.

Un problema che crescerà

Man mano che gli strumenti di sviluppo diventano più potenti, diventano anche più interessanti per gli attaccanti.

Gli IDE moderni sono praticamente:

  • editor
  • terminali
  • client git
  • orchestratori di build
  • gateway verso il cloud

In pratica sono il centro del workflow dello sviluppatore.

E dove c’è centralità, c’è anche valore per chi vuole compromettere la supply chain.

Conclusione

Il tema del codice invisibile e delle estensioni malevole ci ricorda una cosa semplice:

l’open source non è automaticamente sinonimo di sicurezza.

La trasparenza del codice è un enorme vantaggio, ma solo se esistono anche:

  • revisione
  • tooling adeguato
  • consapevolezza della community

Gli ecosistemi di plugin continueranno a crescere, e con loro cresceranno anche le tecniche di attacco.

Come spesso accade nella sicurezza informatica, la vera difesa non è solo tecnica: è soprattutto culturale.

Ed è qualcosa che riguarda tutti noi che scriviamo, distribuiamo e installiamo software ogni giorno.

Le opinioni in quanto tali sono opinabili e nulla ti vieta di approfondire l’argomento.

Risorse: