Un attacco informatico ha preso di mira una vulnerabilità zero day in Gogs, un popolare servizio Git open source per l’hosting autonomo di repository, mettendo a rischio oltre 700 istanze accessibili da internet. La falla, presente nell’ultima versione di Gogs rilasciata a giugno 2025, consente l’esecuzione remota di codice e il controllo completo del server compromesso.
Gogs è ampiamente utilizzato da organizzazioni che preferiscono ospitare internamente i propri repository Git, anziché affidarsi a servizi esterni come GitHub. La vulnerabilità è stata scoperta casualmente durante un’indagine su un’infezione malware su un server cliente, rivelando un meccanismo di bypass di controlli di sicurezza tramite link simbolici (symlink) che permette di sovrascrivere file critici al di fuori del contesto del repository.
L’analisi ha rivelato che più della metà delle istanze Gogs esposte pubblicamente risultano compromesse, con pattern evidenti quali repository dal nome generato casualmente di otto caratteri, creati in un intervallo temporale ristretto a luglio 2025. Questa uniformità suggerisce l’azione di un singolo attore o di un gruppo che utilizza gli stessi strumenti automatizzati.
L’exploit consente agli aggressori di ottenere l’accesso completo al server, sottrarre codice, e trasformare le macchine compromesse in strumenti di mining di criptovalute o piattaforme di lancio per attacchi ransomware. È stato inoltre identificato che il malware rilasciato utilizza il framework open source SuperShell per stabilire un controllo remoto tramite shell SSH inversa.
Il problema deriva da una falla nel sistema di gestione dei link simbolici, che supera le mitigazioni applicate a una precedente vulnerabilità simile. Nonostante la segnalazione della falla sia stata inviata agli sviluppatori di Gogs a luglio, al momento non è ancora disponibile una patch correttiva e gli attacchi proseguono attivamente.
Gli esperti raccomandano quindi di disabilitare la registrazione aperta di nuovi utenti, attiva di default in Gogs, e di limitare l’accesso esterno ai server Git self-hosted per ridurre la superficie di attacco. È inoltre fondamentale monitorare i repository per individuare eventuali nomi anomali come indicatori di compromissione.
Questo episodio sottolinea l’importanza di analizzare a fondo le cause alla radice di un attacco, non limitandosi a correggere le vulnerabilità, ma comprendendo il modus operandi degli aggressori per prevenire future compromissioni.
