"The internet did not break this week. It got used exactly as designed, which is worse." — The Hacker News, apertura ThreatsDay Bulletin
Il ThreatsDay Bulletin di giugno 2026, pubblicato l'11 giugno, documenta un'escalation nel trust abuse che colpisce piattaforme AI e ecosistemi open-source. Il filone principale è l'abuso della funzione chat condivisa di Anthropic Claude per malware delivery, con contesto su agenti AI coding compromessi e il leak del toolkit Miasma per supply chain attacks. Il dossier si basa principalmente su The Hacker News con integrazioni da Rescana; alcuni aspetti non sono confermati da advisory strutturati.
- Threat actor hanno abusato la funzione chat condivisa di Anthropic Claude per distribuire il credential stealer MacSync, dopo una prima fase su Google Ads: oltre 2.000 vittime confermate, con il 67,2% in Asia-Pacifico e il 30,5% a Taiwan, in 6 ondate su 7 settimane con 106 hostname malevoli unici.
- Anthropic ha bannato gli account responsabili, disabilitato le chat malevole e sta implementando mitigazioni aggiuntive.
- Il toolkit Miasma per supply chain attacks è stato leakato il 10 giugno 2026 via GitHub, con impatto su 304 componenti e 73 repository Microsoft; include stringhe C2 come 'DontRevokeOrItGoesBoom' e 'firedalazer'.
- La Claude Code GitHub Action era vulnerabile prima della versione 2.1.128, patchata il 5 maggio 2026 dopo responsible disclosure Microsoft.
- La Cline VS Code extension, con oltre 4,3 milioni di installazioni, presenta una vulnerabilità di esecuzione comandi via repository malevolo classificata 'out of scope'.
Da Google Ads a claude.ai: come cambia il delivery
Secondo Trend Micro, citato da The Hacker News, i cybercriminali hanno iniziato con annunci Google Ads per strumenti AI da sviluppo popolari, deviando oltre 2.000 vittime verso pagine di download malevole. Hanno poi spostato l'operazione sulla piattaforma stessa, usando la funzione chat condivisa di Claude per distribuire MacSync, un credential stealer per macOS.
La campagna si è svolta in 6 ondate distinte nell'arco di 7 settimane, con 106 hostname malevoli unici identificati. La distribuzione geografica è asimmetrica: il 67,2% delle vittime confermate si concentra nella regione Asia-Pacifico, con Taiwan che da sola rappresenta il 30,5% del totale. Anthropic ha reagito bannando gli account responsabili, disabilitando le chat malevole e implementando mitigazioni aggiuntive.
Il meccanismo è quello che il dossier definisce trust inversion: il dominio claude.ai è implicitamente trustato da URL filter e domain reputation, rendendo il payload più difficile da intercettare rispetto a un dominio sospetto generico. I controlli tradizionali non sono progettati per ispezionare contenuti condivisi su piattaforme AI legittime.
Miasma leakato e agenti AI coding: il contesto stretto
Il toolkit Miasma per supply chain attacks è stato leakato il 10 giugno 2026 via GitHub, con impatto su 304 componenti e 73 repository Microsoft. Le stringhe C2 identificate includono 'DontRevokeOrItGoesBoom', 'TheBeautifulSandsOfTime' e 'firedalazer'. La fonte non specifica se Miasma sia stato effettivamente adottato da threat actor oltre al leak, né se esista una connessione operativa con la campagna Claude.
La Claude Code GitHub Action, pre-v2.1.128, presentava una vulnerabilità patchata il 5 maggio 2026 dopo responsible disclosure Microsoft. La versione corretta è la 2.1.128.
Più problematica la situazione della Cline VS Code extension, con oltre 4,3 milioni di installazioni. Secondo Ax Sharma di Manifold Security, citato da The Hacker News, cliccando l'anteprima URL di un file nel repository viene eseguito un comando a livello di sistema, bypassando il dialogo Approve/Deny e il filtro 'Safe Commands'. Sharma precisa: "'Safe Commands' doesn't inspect commands. It asks the AI agent whether its own command is safe, and trusts the answer, even after the same agent has been manipulated by attacker content". La vulnerabilità è classificata 'out of scope'; il dossier non conferma una patch definitiva né l'assegnazione di un CVE.
Cosa cambia
Le contromisure documentate nel dossier sono quelle già implementate dai vendor. Anthropic ha bannato account e disabilitato chat malevole; la patch 2.1.128 risolve la vulnerabilità Claude Code GitHub Action. Per Cline, la classificazione 'out of scope' significa che non è disponibile una fix confermata.
La fonte non specifica se la campagna Claude sia completamente mitigata o se nuove varianti siano in corso. Resta inoltre sconosciuto se il toolkit Miasma verrà adottato attivamente da threat actor oltre al leak documentato.
Perché è importante
L'abuso della chat condivisa Claude rappresenta un caso documentato di trust inversion: non la compromissione della piattaforma, ma il suo uso come canale di delivery. I controlli di sicurezza tradizionali, progettati per domini sospetti, non intercettano contenuti condivisi su domini legittimi con reputazione consolidata.
Il meccanismo non è tecnicamente nuovo — il delivery via piattaforme trustate esiste da anni — ma la specificità delle piattaforme AI come superficie di attacco è ciò che il bulletin del giugno 2026 documenta. La convergenza con agenti AI coding vulnerabili e toolkit leakati per supply chain amplifica il contesto, senza che il dossier stabilisca una connessione operativa tra questi elementi.
Il dato numerico chiave resta la scala asimmetrica: oltre 2.000 vittime confermate, con due terzi concentrate in un'unica regione geografica, in un arco di sette settimane. La distribuzione suggerisce targeting specifico piuttosto che diffusione casuale globale.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/threatsday-bulletin-claude-chat-abuse.html
- https://www.rescana.com/post/threatsday-bulletin-june-2026-miasma-supply-chain-worm-leak-claude-code-github-action-vulnerability-ai-agent-phishing-to
- https://www.wiu.edu/cybersecuritycenter/cybernews.php
- https://www.wiu.edu/visit/
- https://www.wiu.edu/global_studies/
- https://www.wiu.edu/libraries/
- https://www.wiu.edu/registrar/courses.php