Un'azienda su tre ha subìto un attacco alla supply chain negli ultimi dodici mesi, che si confermano la minaccia più diffusa nel panorama globale.
Autore: Redazione SecurityOpenLab
Gli attacchi alla supply chain software sono diventati la minaccia informatica più comune per le aziende a livello globale: il 31% delle grandi imprese ne ha subìto almeno uno negli ultimi dodici mesi, una percentuale superiore a qualsiasi altra categoria di attacco. A fotografare la situazione sono due ricerche distinte pubblicate da Kaspersky: uno studio globale sulla percezione del rischio nelle aziende e i dati di telemetria relativi ai pacchetti open source malevoli, che alla fine del 2025 hanno raggiunto quota 19.500 (+37% rispetto a fine 2024).
Il dato più significativo riguarda la distanza tra la loro incidenza reale e la priorità che i vertici aziendali gli attribuiscono: solo il 9% delle aziende a livello globale considera gli attacchi alla supply chain la principale preoccupazione di sicurezza; una percentuale analoga (8%) cita gli attacchi alle relazioni di fiducia. I responsabili tendono invece a concentrare l'attenzione su APT, ransomware e minacce interne, che sono percepiti come più pericolosi, benché statisticamente meno comuni nel vissuto quotidiano delle organizzazioni.
Le aziende di grandi dimensioni gestiscono in media circa 100 fornitori di software e hardware e concedono accesso ai propri sistemi a oltre 130 appaltatori, rispetto ai circa 50 delle imprese più piccole. Ogni connessione fidata è una potenziale superficie di attacco ed è in questo spazio che prosperano gli attacchi alle relazioni di fiducia, che nel corso dell'ultimo anno hanno colpito un quarto delle aziende a livello globale.
In particolare, tra febbraio e aprile 2026 si sono verificati tre attacchi alla supply chain di rilievo, documentati dai ricercatori di Kaspersky GReAT. La compromissione di CPU-Z e HWMonitor, l’attacco contro Axios (uno dei client HTTP JavaScript più diffusi nell'ecosistema Node.js) che ha portato alla distribuzione di un RAT multipiattaforma capace di contattare un server C&C e cancellare le proprie tracce su macOS, Windows e Linux. E l’attacco a Notepad++ attraverso un incidente ai danni di un provider di hosting.
I tre casi condividono lo sfruttamento di fiducia implicita che gli attaccanti sfruttano, inserendo codice malevolo in punti della catena che le organizzazioni raramente sottopongono a verifica attiva. Gli utenti scaricano software da fonti note, gli sviluppatori integrano codice da repository consolidati, i sistemi installano aggiornamenti da canali ufficiali. I ricercatori sottolineano che il problema non è il modello open source in sé, ma la mancanza di processi sistematici di verifica da parte di chi lo consuma.
La gestione del rischio supply chain richiede un approccio che vada oltre il perimetro aziendale. Ecco alcune linee d'azione prioritarie: valutare le policy di sicurezza dei fornitori prima di stipulare accordi, verificando la conformità agli standard di settore e i dati relativi a vulnerabilità e penetration test; includere requisiti di sicurezza nei contratti e condurre audit periodici; applicare il principio del privilegio minimo e modelli Zero Trust per limitare i danni in caso di compromissione di un fornitore; garantire un monitoraggio continuo dell'infrastruttura per rilevare anomalie nel traffico software e di rete; predisporre un piano di risposta agli incidenti che contempli esplicitamente gli scenari supply chain, con procedure per isolare rapidamente il fornitore compromesso.