Trellix conferma l'accesso non autorizzato al codice sorgente: il vendor XDR avvia l'indagine forense

Trellix, fra i principali fornitori globali di soluzioni Extended Detection and Response, ha reso noto di aver subito un accesso non autorizzato a una porzione del proprio repository di codice sorgente. La nota, pubblicata sul sito istituzionale dell’azienda, è essenziale ma inequivocabile e arriva in una fase in cui la sicurezza dei vendor di cybersecurity è tornata al centro dell’agenda regolatoria europea.

Nel comunicato pubblicato sul sito ufficiale, Trellix dichiara di aver «recentemente identificato» l’intrusione, di aver coinvolto senza indugio esperti forensi esterni e di aver notificato l’incidente alle autorità di law enforcement. Allo stato attuale dell’investigazione, l’azienda afferma di non aver riscontrato alcuna evidenza che il processo di rilascio o di distribuzione del codice sia stato compromesso, né che il codice esposto sia stato sfruttato in attacchi attivi.

Trellix, cosa è stato comunicato e cosa resta opaco

Il testo diffuso da Trellix lascia in sospeso elementi che, in un’investigazione ancora aperta, sono dirimenti per misurare il perimetro reale del danno. Come riporta Security Affairs, l’azienda non ha precisato l’identità dei threat actor, la finestra temporale durante la quale è stato mantenuto l’accesso, né la natura esatta dei dati esposti. Il comunicato si limita ad anticipare che ulteriori dettagli verranno condivisi con la comunità di sicurezza al termine delle verifiche.

Sul piano industriale, il bersaglio è di assoluto rilievo. Nata a gennaio 2022 dalla fusione tra McAfee Enterprise e FireEye sotto Symphony Technology Group, Trellix offre soluzioni di endpoint security, email security, threat intelligence e incident response a imprese e amministrazioni in tutto il mondo. La superficie di esposizione potenziale, in termini di clienti finali integrati con i prodotti del gruppo, è dunque tutt’altro che marginale.

Perché un repository di codice sorgente è un bersaglio strategico

La compromissione di un repository di codice sorgente rappresenta uno degli scenari più sensibili nell’ecosistema della cybersecurity, e lo è a maggior ragione quando il bersaglio è un’azienda che produce software di sicurezza. Il codice è la blueprint tecnica del prodotto: chi vi accede non deve ipotizzare dove cercare le vulnerabilità, ma può leggerle direttamente nelle logiche implementative, nelle API interne, nelle credenziali eventualmente lasciate hard coded dai team di sviluppo e nelle euristiche di rilevamento utilizzate dai motori di protezione.

Anche in assenza di manomissioni rilevate sui binary distribuiti, l’esposizione del codice fornisce ad avversari sofisticati un valore di intelligence di lungo periodo: insight sulle tecniche di rilevamento, possibili percorsi di detection evasion, mappatura delle integrazioni con gli ambienti dei clienti. Il rischio non è quindi tanto immediato quanto strategico, in linea con i modus operandi tipicamente attribuiti agli attori nation state.

E’ necessario mette a fuoco tre vettori specifici. Il primo è la possibilità di sviluppare tecniche di detection evasion attraverso l’analisi della logica interna e delle euristiche del prodotto. Il secondo è l’accelerazione nella scoperta di debolezze e di edge case nei controlli difensivi. Il terzo è il valore di intelligence aggiuntivo per chi intenda colpire ambienti integrati con prodotti Trellix. Nessuno dei tre richiede, per concretizzarsi, una manomissione preventiva della build pipeline: la sola lettura del codice basta.

Una sequenza di precedenti, dal caso SolarWinds in poi

L’episodio si colloca in una sequenza che, negli ultimi anni, ha colpito alcuni dei vendor di sicurezza e dei fornitori tecnologici più rilevanti a livello globale. Come ricostruisce The Hacker News, incidenti analoghi hanno interessato in passato Microsoft, Okta e LastPass.

Nel marzo 2022 il gruppo Lapsus$ rivendicò l’esfiltrazione di codice sorgente di prodotti Microsoft, fra cui Bing, Cortana ed Exchange. Due anni più tardi, nel marzo 2024, Microsoft confermò con depositi 8-K presso la SEC che il gruppo Midnight Blizzard, attribuito al servizio di intelligence estera russo (SVR), aveva avuto accesso a parti dei propri repository di codice sorgente e ad alcuni sistemi interni, dopo l’iniziale compromissione di account di posta corporate. La memoria del settore richiama poi la violazione di SolarWinds del 2020, con l’inserimento del backdoor Sunburst nella build pipeline di Orion e la successiva distribuzione fraudolenta tramite canali ufficiali; l’attacco a Kaseya nel 2021; le esfiltrazioni subite da LastPass nel 2022; le ripetute violazioni di Okta tra 2022 e 2023.

La logica dell’attaccante è economica prima ancora che tecnica. Violare un fornitore che protegge centinaia o migliaia di clienti significa rendere potenzialmente accessibile l’intero perimetro a valle, con un rapporto sforzo-beneficio incomparabilmente più favorevole rispetto a una compromissione individuale. È la dinamica che ha reso strutturale il rischio di supply chain nel comparto cyber e che, sul versante regolatorio, alimenta la richiesta di garanzie più stringenti sui processi interni dei vendor. Su ICT Security Magazine, l’analisi degli attacchi alla supply chain software ha già documentato come, nel 2025 e nel 2026, il fenomeno abbia raggiunto dimensioni quantitative inedite, con centinaia di migliaia di pacchetti malevoli e operazioni state-sponsored di portata sistemica.

Le implicazioni per la secure software supply chain e il quadro normativo

Il caso Trellix rilancia la riflessione sulla secure software supply chain applicata agli stessi fornitori di sicurezza. Il Cyber Resilience Act dell’Unione europea, Regolamento (UE) 2024/2847, è entrato in vigore il 10 dicembre 2024. Gli obblighi di segnalazione delle vulnerabilità attivamente sfruttate e degli incidenti gravi si applicheranno dall’11 settembre 2026, mentre gli obblighi a regime, compresi quelli relativi al Software Bill of Materials, decorreranno dall’11 dicembre 2027. Per le violazioni più gravi è prevista una sanzione massima fino a 15 milioni di euro o al 2,5 per cento del fatturato annuo globale.

Il SBOM, disciplinato dall’articolo 13 e dall’Allegato I del Regolamento, dovrà essere prodotto in formato machine-readable e coprire almeno le dipendenze di primo livello, restando parte integrante della documentazione tecnica e fornito alle autorità di vigilanza su richiesta. Per un’analisi operativa su come implementare un SBOM conforme al CRA, ICT Security Magazine ha pubblicato una guida dedicata che ricostruisce workflow, formati (SPDX e CycloneDX), strumenti open source e integrazione nelle pipeline di vulnerability management.

In questo scenario, audit del Secure Development Lifecycle, code signing robusto, monitoraggio continuo dei repository, gestione delle identità privilegiate e segregazione degli ambienti di sviluppo cessano di rappresentare best practice opzionali per diventare requisiti minimi di credibilità di mercato. Il presupposto è semplice: la posture interna di un vendor di sicurezza non è un fatto privato, ma una componente diretta del rischio dei suoi clienti.

Per le organizzazioni che utilizzano soluzioni Trellix, e più in generale per chi si affida a piattaforme XDR e di endpoint protection, la postura prudenziale resta quella indicata da Integrity360: nessuna azione emergenziale è richiesta in questa fase, ma è essenziale applicare con costanza gli aggiornamenti rilasciati dal vendor, monitorare i comportamenti anomali negli ambienti integrati con i prodotti Trellix e mantenere un’architettura di sicurezza fondata sul principio della defense in depth.

Conclusione analitica

L’episodio Trellix non si misura sull’entità del codice esposto, al momento non quantificabile pubblicamente, ma sul segnale che invia al mercato. La comunicazione tempestiva, l’attivazione di forensi esterni e il coinvolgimento delle autorità descrivono un modello di gestione che, sul piano reputazionale, è ormai un’aspettativa più che un’eccezione. Resta tuttavia aperto il nodo sostanziale: se anche un vendor di sicurezza con risorse di livello enterprise può subire un accesso non autorizzato a un repository, la vera variabile competitiva non è più la presunta inviolabilità, ma la qualità dei processi di rilevamento, contenimento e trasparenza. È in questa cornice che andrà letta, nelle prossime settimane, la pubblicazione dei dettagli tecnici annunciata dall’azienda.

Condividi sui Social Network:

Trellix conferma l’accesso non autorizzato al codice sorgente: il vendor XDR avvia l’indagine forense

Trellix, cosa è stato comunicato e cosa resta opaco

Perché un repository di codice sorgente è un bersaglio strategico

Una sequenza di precedenti, dal caso SolarWinds in poi

Le implicazioni per la secure software supply chain e il quadro normativo

Conclusione analitica

IBM Italia colpita da Salt Typhoon: il cyberspionaggio cinese entra nella PA

Brad Parscale, Israele e l’AI: il contratto da 9 milioni per orientare le risposte di ChatGPT, Claude e Gemini

Caso Mythos: l’AI che trova zero-day in autonomia, il leak su Discord e la nuova economia delle vulnerabilità

Dalla teoria alla realtà: cosa manca davvero nella gestione delle crisi cyber

La sicurezza dei cavi sottomarini: quadro normativo e prospettive regolatorie

Sentenza Tribunale di Siracusa 338/2026: colpa grave per uso non verificato dell’IA negli atti processuali

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Trellix, cosa è stato comunicato e cosa resta opaco

Perché un repository di codice sorgente è un bersaglio strategico

Una sequenza di precedenti, dal caso SolarWinds in poi

Le implicazioni per la secure software supply chain e il quadro normativo

Conclusione analitica

Ultimi Articoli

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Argomenti

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE