Il 29 giugno 2026, un'indagine di Blackpoint MDR documenta exploitation attiva di CVE-2026-48558 per distribuire Djinn Stealer e TaskWeaver, due malware precedentemente non documentati. La vulnerabilità, divulgata il 9 giugno nel software RMM SimpleHelp, passa da proof-of-concept teorico a vector concreto in circa tre settimane. Gli attaccanti ottengono sessioni technician privilegiate e impiegano la piattaforma compromessa come canale trusted per movimento laterale ed esfiltrazione.
- Blackpoint MDR conferma exploitation in-the-wild di CVE-2026-48558 con deployment di Djinn Stealer e TaskWeaver, smentendo precedenti valutazioni di assenza di attacchi documentati
- Djinn Stealer è un infostealer cross-platform (Windows, macOS, Linux) con focus specifico su credenziali strumenti AI development tramite protocollo MCP
- TaskWeaver funge da loader JavaScript modulare: riceve moduli da C2 e impacchetta i dati rubati con AES-256-GCM, chiave protetta da RSA-2048 embedded
- Su Linux, Djinn Stealer legge /proc/<pid>/cmdline e /proc/<pid>/environ per estrarre segreti dai processi in esecuzione
Come funziona la catena di attacco
CVE-2026-48558 è un authentication bypass nel flusso OIDC di SimpleHelp. La vulnerabilità consente JWT forgery senza verifica della firma, permettendo a un attaccante di ottenere sessione technician con privilegi amministrativi. Secondo l'indagine Blackpoint MDR, questo meccanismo è stato sfruttato su server SimpleHelp esposti a Internet.
Una volta ottenuta la sessione, l'operatore ha utilizzato la piattaforma RMM come "trusted administrative channel". Da qui ha trasferito file ed eseguito comandi sui sistemi gestiti. Il malware è stato distribuito come file JavaScript offuscato denominato 'jquery.js', scaricato da dominio Cloudflare temporaneo. Questo è TaskWeaver.
TaskWeaver non è l'payload finale. Funge da stager: contatta il C2, riceve moduli JavaScript aggiuntivi, e prepara il terreno per Djinn Stealer. I dati raccolti vengono impacchettati in formato TAR, compressi con GZIP, quindi cifrati con AES-256-GCM. La chiave simmetrica è protetta da una chiave pubblica RSA-2048 embedded nel loader stesso.
Djinn Stealer: il target sono le credenziali AI
Djinn Stealer raccoglie credenziali cloud, repository Git, chiavi SSH, configurazioni Docker, strumenti IaC, package manager e wallet crypto. Ma il suo tratto distintivo, secondo i ricercatori Blackpoint, è il focus su configurazioni MCP per AI coding assistants.
"Many of these tools rely on the Model Context Protocol (MCP) to connect an AI assistant to external tools and data on the developer's behalf... Stealing them can grant an attacker the same downstream access the developer extended to their AI agent, reaching well beyond the AI service itself" — Blackpoint researchers, via BleepingComputer
Il Model Context Protocol, promosso da Anthropic e adottato da Claude, Gemini, Codex, Cline, OpenCode e Kilo, standardizza la connessione tra AI assistant e risorse esterne. I token MCP conservati in configurazioni locali o variabili d'ambiente espongono accesso downstream a repository, API interne e infrastruttura cloud. Il furto di questi token non compromette solo il servizio AI: replica i permessi dell'agente stesso.
Su Linux, Djinn Stealer implementa tecniche specifiche: scorre i processi leggendo /proc/<pid>/cmdline e /proc/<pid>/environ. Questi file virtuali del kernel espongono argomenti e variabili d'ambiente dei processi in esecuzione, inclusi token, chiavi e configurazioni runtime.
La velocità di weaponization e i numeri del rischio
La disclosure di CVE-2026-48558 risale al 9 giugno 2026. L'exploitation documentata da Blackpoint MDR è rilevata entro il 29 giugno. Questo arco di circa tre settimane colloca la vulnerabilità nella fascia alta di weaponization per software enterprise, particolarmente per piattaforme RMM con superficie di attacco eterogenea.
Secondo la fonte, circa 1.000 server SimpleHelp erano in configurazione vulnerabile al momento della disclosure. Questo dato si riferisce specificamente a istanze con OIDC abilitato, e differisce per base di calcolo da precedenti stime di circa 14.000 server con ~7,2% OIDC attivo. La discrepanza non è risolta nel dossier: le due cifre (~1.000 diretta vs. ~1.008 derivata da 14.000 × 7,2%) sono coerenti matematicamente ma non esplicitamente collegate nella fonte.
Il dato del 54% di tasso di logging attacchi riusciti, riportato nel contesto dell'articolo BleepingComputer, proviene da contenuto pubblicitario Picus e non è direttamente attribuibile alla campagna SimpleHelp.
Perché è importante
Il dossier non specifica la data esatta di inizio exploitation, né se l'attacco investigato sia iniziato prima o dopo il rilascio delle patch del 9 giugno. Non emerge durata dell'intrusione, numero di vittime oltre il caso documentato, né attribuzione a threat actor specifico.
La fonte non documenta esistenza di altre campagne exploitation parallele. Il rapporto tra "new stealer malware" del titolo BleepingComputer e "Djinn Stealer" come nome proprio del malware non è esplicitamente chiarito nel corpo dell'articolo.
Non sono disponibili misure correttive specifiche oltre l'aggiornamento alle versioni 5.5.16/6.0RC2 indicate nel disclosure originale. Il brief non elenca raccomandazioni aggiuntive su invalidazione sessioni, rotazione credenziali o controlli post-breach.
Lettura: RMM come vector privilegiato
La scelta di SimpleHelp come vector riflette un pattern sistemico: le piattaforme di remote monitoring and management sono target ad alta leva perché già progettate per accesso privilegiato, movimento laterale ed esecuzione remota. Un RMM compromesso non richiede escalation: è già root.
L'aggiunta del focus MCP segnala un'evoluzione nel targeting. Gli infostealer tradizionali mirano a credenziali generiche. Djinn Stealer estrae token che delegano accesso a infrastrutture AI: il valore non è nel singolo account, ma nella capacità di replicare un agente autenticato con scope potenzialmente ampio.
La cross-platform natura e le tecniche /proc-based su Linux indicano sviluppo deliberato per ambienti developer, spesso sottoprotesi rispetto a endpoint Windows corporate. Il TAR+GZIP+AES-256-GCM con RSA-2048 embedded suggerisce attenzione alla resistenza forense, non solo alla raccolta.
Il brief non documenta se Blackpoint abbia condiviso IoCs con vendor o community, né se esista coordinamento per takedown dell'infrastruttura Cloudflare temporanea.
Le informazioni sono basate sull advisory citata e aggiornate al momento della pubblicazione.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/hijacked-npm-and-go-packages-use-vs.html
- https://thehackernews.com/2026/06/new-gaslight-macos-malware-uses-prompt.html
- https://dailysecurityreview.com/resources/cve-2026-48558-exposes-14000-simplehelp-rmm-servers-to-auth-bypass/
- https://www.rescana.com/post/critical-cve-2026-48558-vulnerability-in-simplehelp-allows-unauthorized-privileged-account-creation-via-oidc-authenticat
- https://www.cve.org/CVERecord?id=CVE-2026-48558
- https://www.bleepingcomputer.com/news/security/simplehelp-bug-lets-hackers-create-rogue-remote-support-accounts/
- https://guides.simple-help.com/kb---security-vulnerabilities-01-2025
- https://attack.mitre.org/techniques/T1078/
- https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-simplehelp-flaw-deploy-new-djinn-infostealer-taskweaver-malware/