Una falla critica nel kernel Linux (CVE-2026-31431) consente a qualsiasi utente locale di diventare amministratore. Nel frattempo, pacchetti npm ufficiali di SAP sono stati compromessi per rubare credenziali di sviluppatori.
Linux sotto attacco: la vulnerabilità che regala accesso root a chiunque
Se usi Linux, anche su un server in cloud o in un container Docker, c'è una notizia che non puoi ignorare. Una vulnerabilità critica del kernel scoperta il 29 aprile 2026 consente a qualsiasi utente locale — anche uno senza privilegi — di ottenere accesso root con un semplice script di 732 byte. Non servono exploit complessi o race condition: basta un file piccolo e il gioco è fatto. Nel contempo, un attacco coordinato ha colpito i pacchetti npm ufficiali di SAP, rubando token e credenziali a migliaia di sviluppatori.
Chi
La vulnerabilità è stata scoperta da ricercatori di sicurezza e segnalata a CERT-EU, l'agenzia europea per la cybersicurezza. L'attacco alla supply chain npm è stato documentato da un consorzio di aziende di sicurezza: Aikido Security, Onapsis, OX Security, SafeDep, Socket, StepSecurity e Wiz (controllata da Google). I ricercatori attribuiscono l'operazione a un gruppo noto come "Mini Shai-Hulud", probabilmente collegato alle operazioni precedenti di TeamPCP.
Cosa è successo
La vulnerabilità del kernel: "Copy Fail"
La falla, tracciata come CVE-2026-31431 con score CVSS 7.8, si chiama "Copy Fail" e risiede nel modulo algif_aead del kernel Linux — l'interfaccia socket AEAD dell'API crittografica dello spazio utente (AF_ALG). Il difetto nasce da un'ottimizzazione introdotta nel 2017 che permette alle pagine della cache di essere inserite in una lista di destinazione scrivibile. Combinando un'operazione AF_ALG con la funzione splice(), un utente non privilegiato può eseguire una scrittura controllata di 4 byte su una pagina arbitraria della cache, mirando a binari setuid come /usr/bin/su per ottenere una shell root.
Il fix è stato committato nel mainline kernel il 1° aprile 2026, ma a fine aprile nessuna distribuzione principale aveva ancora rilasciato un pacchetto kernel aggiornato. La vulnerabilità colpisce ogni distribuzione Linux mainstream che usa un kernel compilato dal 2017 in poi:
- Ubuntu 24.04 LTS (kernel 6.17.0)
- Amazon Linux 2023 (kernel 6.18.8)
- RHEL 10.1 (kernel 6.12.0)
- SUSE 16 (kernel 6.12.0)
- Debian e altre distribuzioni con kernel nella finestra temporale interessata
L'attacco alla supply chain npm di SAP
Il 29 aprile 2026, tra le 09:55 e le 12:14 UTC, sono stati pubblicati su npm pacchetti compromessi associati all'ecosistema SAP:
[email protected]@cap-js/[email protected]@cap-js/[email protected]@cap-js/[email protected]
I pacchetti avvelenati introducevano un hook preinstall nel file package.json che eseguiva uno script denominato setup.mjs. Questo script agiva come loader per il runtime Bun JavaScript, scaricando un file ZIP specifico per la piattaforma da GitHub Releases, estraendolo ed eseguendolo immediatamente. Su Windows, il malware usava PowerShell con il flag -ExecutionPolicy Bypass, aumentando significativamente il rischio.
Il malware era progettato per raccogliere:
- Credenziali locali di sviluppatori
- Token GitHub e npm
- Segreti di GitHub Actions
- Credenziali cloud da AWS, Azure, GCP e Kubernetes
I dati rubati venivano crittografati ed esfiltrati verso repository GitHub pubblici creati sull'account della vittima, con la descrizione "A Mini Shai-Hulud has Appeared". Secondo le ricerche, il numero di repository compromessi ha superato il migliaio.
Perché è importante
L'impatto della vulnerabilità del kernel
CVE-2026-31431 rappresenta un pericolo immediato per chiunque esegua Linux in ambienti multi-utente o esposti a carichi di lavoro non attendibili. I Kubernetes node, i runner CI/CD e i sistemi shared hosting sono i bersagli prioritari: un container compromesso, un job di build malevolo o un utente con accesso SSH locale possono diventare amministratori di sistema in pochi secondi.
A differenza di altre vulnerabilità di privilege escalation, questa non richiede timing preciso o condizioni di gara complesse. La semplicità dell'exploit — un piccolo script — significa che sarà rapidamente incorporato in toolkit di attacco automatizzati. CERT-EU ha già raccomandato di applicare mitigazioni interim immediatamente, prioritizzando i Kubernetes node.
L'impatto dell'attacco npm
L'attacco a SAP npm è particolarmente insidioso perché colpisce gli strumenti di sviluppo stessi. Gli sviluppatori che hanno installato queste versioni compromesse durante il breve intervallo di tempo (meno di 3 ore) hanno potenzialmente compromesso:
- I loro ambienti di sviluppo locali
- Le pipeline CI/CD delle loro aziende
- I segreti e le credenziali cloud usati per il deploy
- I token che controllano accesso a repository e servizi cloud
Questo tipo di attacco è particolarmente efficace perché sfrutta la fiducia: gli sviluppatori si aspettano che i pacchetti ufficiali di SAP siano sicuri. Una volta compromessi, diventano un vettore di accesso a livello aziendale.
La connessione con TeamPCP suggerisce che il gruppo dietro l'attacco ha esperienza consolidata in operazioni di supply chain e probabilmente sta usando i dati rubati per accessi successivi a sistemi aziendali.
Cosa aspettarsi
Patch e timeline
I vendor di distribuzioni Linux stanno lavorando per rilasciare kernel aggiornati. Ubuntu, Debian, Red Hat e SUSE dovrebbero pubblicare patch nelle prossime settimane. Nel frattempo, CERT-EU consiglia di implementare mitigazioni interim come il disabilitamento del modulo AF_ALG su sistemi critici.
Per npm, i pacchetti compromessi sono stati rimossi, ma gli sviluppatori che li hanno installati devono:
- Rigenerare tutti i token e le credenziali che potrebbero essere stati esposti
- Controllare i log di accesso ai servizi cloud e ai repository
- Verificare se sono stati creati repository GitHub non autorizzati sui loro account
- Aggiornare immediatamente i pacchetti SAP alle versioni corrette
Indicatori da monitorare
- Rilascio di patch: data di disponibilità dei kernel aggiornati per le principali distribuzioni
- Reazioni dei competitor: come Azure, AWS e Google Cloud rispondono con avvisi e mitigazioni automatiche
- Evoluzione dell'exploit: se CVE-2026-31431 viene incorporato in framework di exploit pubblici come Metasploit
- Ulteriori attacchi npm: se Mini Shai-Hulud o altri gruppi sfruttano la visibilità per colpire altri pacchetti npm
- Regolamentazione: se le autorità (EU, US) impongono nuovi standard di sicurezza per la supply chain software
Per chi gestisce infrastrutture Linux critiche, il messaggio è chiaro: applicare patch non è più una buona pratica, è una necessità immediata. Per chi sviluppa software, controllare le dipendenze npm e i segreti esposti non è opzionale.
📰 Fonti
- dev.to — Linux Root Exploit (CVE-2026-31431), SAP npm Supply Chain Attack, & Homelab Secrets with Infisical
- thehackernews.com — SAP-Related npm Packages Compromised in Credential-Stealing Supply Chain Attack
- borncity.com — TeamPCP kompromittiert offizielle SAP-Pakete: Angriffswelle auf ...
- cert.europa.eu — High Vulnerability in the Linux Kernel ("Copy Fail") - CERT-EU
- securityweek.com — 'Copy Fail' Logic Flaw in Linux Kernel Enables System Takeover
- purple-ops.io — CVE-2026-31431 Full Root Access Evades Breach D… | PurpleOps
