Nel panorama della cybersecurity, la supply chain software si conferma uno dei punti più critici per la sicurezza aziendale. Secondo una recente analisi di Kaspersky, alla fine del 2025 sono stati individuati quasi 19.500 pacchetti dannosi nei progetti open source, segnando un aumento del 37% rispetto all’anno precedente.
Un dato che riflette una trasformazione strutturale: lo sviluppo software moderno si basa sempre più su componenti open source, ma proprio questa apertura espone aziende e organizzazioni a nuove vulnerabilità. Gli attacchi alla supply chain, infatti, non colpiscono direttamente l’azienda, ma sfruttano fornitori, librerie o dipendenze software per infiltrarsi nei sistemi.
Attacchi sempre più sofisticati e invisibili
Negli ultimi mesi si sono verificati diversi episodi emblematici. Tra questi, la compromissione dei siti ufficiali di CPU-Z e HWMonitor, dove i download legittimi sono stati sostituiti con installer contenenti malware, con oltre 150 vittime a livello globale.
Un altro caso rilevante ha coinvolto Axios, noto client HTTP JavaScript, compromesso attraverso il controllo dell’account di un maintainer. Gli aggressori hanno introdotto una dipendenza malevola in grado di distribuire un RAT multipiattaforma e comunicare con server di comando e controllo.
Anche l’ecosistema open source di Notepad++ è stato colpito, evidenziando come gli attacchi possano sfruttare infrastrutture terze per colpire target diversificati, incluse organizzazioni governative e istituti finanziari.
Open source: opportunità e rischio
Nonostante i rischi, l’open source non è intrinsecamente meno sicuro rispetto al software proprietario. Anzi, una community attiva può individuare e correggere vulnerabilità in tempi rapidi. Tuttavia, il problema resta nella gestione delle dipendenze e nella visibilità sulle componenti utilizzate.
Secondo gli esperti, il vero nodo non è la tecnologia, ma il modello di adozione: molte aziende non dispongono ancora di strumenti adeguati per monitorare continuamente i componenti software integrati nei propri sistemi.
Come difendersi dagli attacchi alla supply chain
Per ridurre il rischio, le aziende devono adottare un approccio strutturato alla sicurezza della supply chain software. Tra le principali raccomandazioni:
-
monitoraggio continuo dei componenti open source utilizzati
-
adozione di soluzioni avanzate di rilevamento e risposta (XDR e MXDR)
-
aggiornamento costante sulle vulnerabilità emergenti
-
definizione di piani di risposta agli incidenti specifici per la supply chain
-
collaborazione attiva con fornitori e partner tecnologici
In un contesto in cui il 31% delle grandi aziende ha già subito un attacco alla supply chain nell’ultimo anno, la sicurezza del software non può più essere considerata un’attività secondaria.
Una sfida strategica per le imprese
La crescita degli attacchi dimostra che la cybersecurity deve evolvere insieme ai modelli di sviluppo digitale. La protezione della supply chain software diventa così una priorità strategica, che richiede visibilità, automazione e collaborazione tra tutti gli attori dell’ecosistema.
In un mondo sempre più interconnesso, la sicurezza non riguarda solo il proprio perimetro, ma l’intera catena del valore digitale.
