Un nuovo infostealer per macOS chiamato GhostClaw sta circolando attraverso repository GitHub e strumenti di sviluppo, sfruttando un meccanismo tanto semplice quanto efficace: le abitudini quotidiane degli sviluppatori. Non servono exploit sofisticati né vulnerabilità zero day. Basta mimetizzarsi nel flusso di lavoro normale, quello fatto di comandi di installazione lanciati quasi in automatico, file README seguiti alla lettera e codice scaricato senza troppi pensieri.

Ed è proprio qui che la faccenda si fa preoccupante. Perché GhostClaw non forza nessuna porta. Entra dalla porta principale, quella che gli sviluppatori lasciano aperta ogni giorno.

Come si diffonde GhostClaw e perché funziona così bene

I ricercatori di Jamf, azienda specializzata in sicurezza per l’ecosistema Apple, hanno tracciato l’evoluzione della campagna. Inizialmente il payload veniva distribuito tramite pacchetti npm, un canale già noto per la diffusione di codice malevolo. Poi la strategia si è evoluta, spostandosi verso repository GitHub e ambienti di sviluppo assistiti dall’intelligenza artificiale. Un salto di qualità, a tutti gli effetti.

Il punto di forza di GhostClaw sta nella sua capacità di mimetizzarsi. Gli sviluppatori sono abituati a clonare repository, eseguire script di configurazione e seguire istruzioni di installazione senza farsi troppe domande. Sono gesti ripetuti decine di volte al giorno, e proprio questa familiarità costruisce un livello di fiducia implicita che il malware sfrutta con precisione chirurgica. Il payload si confonde con il comportamento atteso, rendendo quasi impossibile distinguere un’installazione legittima da una compromessa.

Non parliamo quindi di un attacco che colpisce utenti sprovveduti. Al contrario, il target sono professionisti tecnici, persone che conoscono bene il proprio ambiente di lavoro ma che, proprio per questo, abbassano la guardia davanti a schemi riconoscibili.

Cosa ruba e perché va preso sul serio

Come ogni infostealer che si rispetti, GhostClaw punta a raccogliere dati sensibili dal sistema infetto: credenziali salvate nei browser, token di autenticazione, informazioni sui portafogli di criptovalute e altri dati memorizzati localmente. Su macOS, la percezione diffusa di una maggiore sicurezza rispetto ad altri sistemi operativi gioca a favore degli attaccanti, perché porta molti utenti a sottovalutare il rischio.

Il fatto che la campagna sfrutti anche ambienti di sviluppo potenziati dall’intelligenza artificiale aggiunge un ulteriore livello di complessità. Strumenti che generano codice automaticamente potrebbero integrare dipendenze compromesse senza che nessuno se ne accorga, almeno non subito.

Chi lavora con GitHub e strumenti di sviluppo su macOS farebbe bene a verificare con attenzione ogni repository prima di eseguire comandi di installazione, anche quando tutto sembra perfettamente normale. Perché GhostClaw dimostra una cosa molto chiara: la normalità, in certi casi, è esattamente il travestimento migliore.

L'articolo GhostClaw, il malware per macOS che entra dalla porta principale proviene da Tecnoapple.