Premessa importante, anzi fondamentale: se al posto dei panda i protagonisti di questa notizia fossero stati cani di razza Bovaro del Bernese, sarei stato infettato anche io in men che non si dica.

Perché io, da sempre, al Bovaro non so resistere, ed il motivo sembra essere scientificamente provato: occhi grandi, muso corto, espressione tenera. Questo meccanismo, che i biologi evoluzionisti chiamano Baby Schema, ha un valore adattivo profondo: ci spinge a proteggere e prenderci cura dei più deboli.

Ed è esattamente questo il punto d’ingresso scelto da Koske, un nuovo e sofisticato malware Linux che si nasconde dietro immagini apparentemente innocue di panda. Un attacco subdolo, descritto nei dettagli in questo articolo di Bleeping Computer, che sfrutta proprio la nostra predisposizione alla fiducia visiva per celare l’esecuzione di codice malevolo in grado di compromettere a fondo un sistema.

A scoprire Koske sono stati i ricercatori di AquaSec, che lo definiscono senza mezzi termini “una minaccia sofisticata per Linux” che peraltro sembra essere stato sviluppato con l’ausilio di intelligenza artificiale o framework di automazione evoluti, viste le sue capacità adattive e la varietà dei comportamenti osservati.

L’obiettivo? Il solito: installazione di miner CPU e GPU ottimizzati per il mining di almeno 18 criptovalute diverse, tra cui Monero, Ravencoin e Zano, sfruttando le risorse del sistema compromesso.

L’accesso iniziale avviene tramite istanze esposte di JupyterLab — un’interfaccia web interattiva per scrivere codice, visualizzare dati e documentare il lavoro molto usata in ambito data science e machine learning — mal configurate. Una volta ottenuto l’accesso, l’attaccante scarica due immagini JPEG di panda — ospitate su servizi apparentemente legittimi come OVH images, freeimage e postimage — che fungono da cavallo di Troia.

A differenza di altri malware che usano la steganografia per nascondere dati dentro immagini, Koske si basa su una tecnica più subdola chiamata polyglot files. I file utilizzati sono validi sia come immagini JPEG (quindi visualizzabili come foto) sia come script shell o codice C (eseguibili da interpreti o compilatori).

Carina come funzionalità, vero? Mentre un utente distratto vede solo un panda, un sistema mal configurato interpreta la parte eseguibile del file, facendo partire l’infezione.

L’aspetto più interessante di tutta la questione (per tutti i dettagli basta leggere l’articolo) è la conclusione che i ricercatori hanno tirato a proposito dell’intera catena d’attacco, ossia che mostra un livello di automazione che difficilmente potrebbe essere stato scritto a mano.

AquaSec sospetta quindi l’uso di LLM (Large Language Model) o strumenti AI nell’ideazione e sviluppo di Koske. Se così fosse, saremmo davanti a uno dei primi esempi concreti di malware AI-powered in ambiente Linux.

Chissà quali altre sorprese vedremo in futuro… Ci credo che poi abbiamo bisogno di guardare immagini di dolci animali!