Un team di ricercatori ha analizzato 658 campioni di codice sorgente malware leaked, reperiti dal repository pubblico VX-Underground, con quattro scanner di analisi statica progettati per il software legittimo. La constatazione, resa nota il 9 giugno 2026, è che il malware ha ormai raggiunto una qualità strutturale paragonabile al software benigno—e proprio per questo porta con sé una superficie di attacco difensiva sistematica e misurabile.
- Quasi il 90% dei 658 campioni malware analizzati contiene almeno una weakness software riconosciuta dagli stessi scanner SAST usati per il codice legittimo.
- Oltre due quinti delle weakness deriva da frammenti di codice riutilizzati tra più famiglie malware, creando pattern difendibili ricorrenti.
- La disabilitazione della validazione certificati TLS è la weakness più significativa per gli operatori difensivi: espone il traffico C2 all'intercettazione.
- La struttura e la maintainability del codice malware rientrano nella stessa gamma dei progetti benigni, rendendo vano ogni approccio difensivo basato solo su euristica strutturale.
Scanner standard, risultati inattesi: il metodo della ricerca
I ricercatori hanno impiegato quattro tool di analisi statica: Cppcheck, Bandit, Snyk e Semgrep. Non scanner specializzati per il threat intelligence, ma strumenti off-the-shelf del ciclo di sviluppo ordinario. Hanno applicato la stessa batteria a 249 progetti open-source benigni—tra i pacchetti Python e JavaScript più scaricati e un gruppo di tool di sicurezza—per costruire una linea di base comparativa. La fonte non specifica l'affiliazione istituzionale del team né la venue del paper, rendendo impossibile una verifica indipendente dei risultati senza accesso al documento originale.
Dai 658 campioni malware, quasi il 90% ha restituito almeno una weakness classificata. Il dato non si riferisce a vulnerabilità zero-day o flaw esotici, ma a difetti del software riconosciuti da cataloghi standard: poor code quality, missing integrity checks, unused variables, dead code. Le weakness tipiche delle web-application—SQL injection, XSS—risultano meno frequenti, coerentemente con la natura del malware che non espone interfacce web pubbliche.
Il codice condiviso come superficie di attacco difensiva
Il risultato più rilevante per gli operatori è la quota di weakness attribuibile a riutilizzo. Oltre due quinti delle weakness rilevate proviene da frammenti di codice condivisi tra diverse famiglie malware. Questo significa che una singola falla, una volta catalogata, può propagarsi in campioni eterogenei e offrire punti di ingresso ricorrenti per il takedown o l'intercettazione. I ricercatori osservano che "una libreria di weakness comuni offre ai difensori un vantaggio temporale nel trovare il prossimo kill switch prima che una campagna si diffonda".
"Malware is software, software has bugs, and those bugs are worth cataloging" — autori della ricerca, riportato da Help Net Security
La weakness ricorrente più significativa è la disabilitazione della validazione certificati TLS. Quando un campione malware esegue questa operazione, il traffico command-and-control diventa intercettabile senza dover compromettere l'infrastruttura dell'attaccante. Un difensore che identifica il pattern può monitorare e geolocalizzare gli host infetti prima che la campagna raggiunga la maturità operativa. Non è hack-back: è threat intelligence tecnica eseguita sul codice avversario con gli stessi tool dello sviluppo legittimo.
La professionalizzazione del malware non ha eliminato i difetti
I ricercatori collegano la qualità del codice malware al mercato Malware-as-a-Service, dove gli acquirenti pagano per tool funzionanti e gli autori sono spinti a produrre codice più pulito. I punteggi di maintainability del malware rientrano nella stessa gamma dei pacchetti benigni, a volte superandoli. La struttura da sola—numero di classi, uso di closures, densità dei commenti—non distingue malware da software legittimo. I campioni malware tendono a essere piccoli, sparsamente commentati, con struttura piatta, ma queste caratteristiche non costituiscono un discriminatore affidabile.
Esistono limitazioni metodologiche dichiarate: i campioni malware sono principalmente in C/C++, mentre i progetti benigni di confronto sono in Python e JavaScript; gli strumenti di misura strutturale coprono circa il 70% dei campioni malware, ovvero circa 463 progetti su 658. La fonte non specifica quando i campioni sono stati raccolti né quando l'analisi è stata condotta, rendendo incerta la rappresentatività rispetto alle famiglie in circolazione nel 2026.
Precedenti e confini: cosa la ricerca non propone
Gli autori non approvano l'hack-back, lasciando esplicitamente aperte le questioni legali ed etiche. La loro proposta è catalogazione e analisi preventiva, non contro-offensiva. Il dossier della fonte riporta precedenti storici verificabili che confermano la plausibilità della traiettoria: il kill switch di WannaCry attivato tramite registrazione di un dominio hard-coded, il takedown di Emotet e Torpig sfruttando flaw operativi, i decryptor gratuiti resi possibili da errori crittografici nei ransomware.
La fonte non riporta che esistano exploit pratici già costruiti su questa ricerca specifica, né che i ricercatori abbiano rilasciato una libreria di weakness indicizzata. Il paper, se esiste in forma peer-reviewed o preprint, non è citato con titolo e venue precisi. L'identità istituzionale del team non è dichiarata.
Perché è importante
Il brief non documenta misure correttive specifiche né azioni operative immediate per i difensori. La fonte non specifica se i ricercatori abbiano rilasciato dataset o tool aggiuntivi. Il dossier non elenca entità come secrets, SSH keys, token API o certificati come oggetti esposti dalle weakness. Non è chiaro se l'analisi strutturale del ~30% dei campioni non coperti avrebbe alterato i risultati in misura significativa.
La portata della ricerca resta contenuta alla dimostrazione di fattibilità: gli stessi scanner SAST funzionano sul malware, e il malware trasporta un flusso costante di propri bug. La scalabilità operativa—l'automazione della scansione su repository di threat intelligence, l'integrazione nei flussi SOC, la costruzione di indicatori di detection dai pattern ricorrenti—non è trattata nei dati forniti. La fonte non descrive né tempistiche né attori coinvolti in un eventuale passaggio dalla ricerca all'applicazione.
Per i threat hunter e i team di intelligence, il valore risiede nel ribaltamento prospettico: il codice avversario non è un artefatto opaco da osservare solo al runtime, ma un artefatto software analizzabile staticamente con tool esistenti. La standardizzazione imposta dal MaaS, che rende il malware più simile al software enterprise, ne costituisce anche il punto debole—perché la standardizzazione genera pattern, e i pattern sono difendibili a scala.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.helpnetsecurity.com/2026/06/09/malware-source-code-bugs-research/
- https://thehackernews.com/2026/06/claude-code-github-action-flaw-let-one.html
- https://thehackernews.com/2026/06/fake-sites-mimicking-open-source-tools.html
- https://unit42.paloaltonetworks.com/monitoring-npm-supply-chain-attacks/
- https://unit42.paloaltonetworks.com/active-directory-certificate-services-exploitation/
- https://www.microsoft.com/en-us/security/blog/2026/06/02/preinstall-persistence-inside-red-hat-npm-miasma-credential-stealing-campaign/
- https://www.csoonline.com/article/4175970/microsoft-patches-two-zero-day-flaws-in-defender.html
- https://www.microsoft.com/en-us/security/blog/2026/05/29/33-malicious-npm-packages-abuse-dependency-confusion-profile-developer-environments/
- https://www.cisa.gov/news-events/alerts/2026/05/20/cisa-adds-seven-known-exploited-vulnerabilities-catalog
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41091
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45498
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45584
- https://www.helpnetsecurity.com/2025/10/02/chekov-open-source-static-code-analysis-tool-iac/