Riepilogo

Lo slopsquatting è un attacco che sfrutta le allucinazioni dei modelli IA: i criminali creano pacchetti con nomi inesistenti ma ricorrenti suggeriti dall’IA e li pubblicano su repository affidabili, inducendo gli sviluppatori a installarli. Il fenomeno è rilevante: molti pacchetti consigliati non esistono e i nomi allucinati si ripetono con frequenza. Per difendersi: vigilare su segnali sospetti (ortografia, scarsa attività, descrizioni vaghe, assenza di consenso tra piattaforme), usare sandbox/VM per test, scansionare i pacchetti prima del download e verificare sistematicamente esistenza, reputazione, attività del repository, maintainer, changelog e licenza. In caso di incidente, segnalare pubblicamente e alle piattaforme per ridurre l’esposizione collettiva.

---

Cos’è lo Slopsquatting e come difendersi

Hai visto circolare questo termine poco rassicurante e ti stai chiedendo cos’è lo slopsquatting e in che modo potrebbe toccarti da vicino? Si tratta di un attacco subdolo e non sempre evidente, ma con le giuste accortezze puoi evitarlo e proteggerti.

Cos’è lo Slopsquatting

Tutto nasce dalle “allucinazioni” dell’IA: risposte inventate che i modelli generativi forniscono con sicurezza, pur non essendo corrette. In questo contesto, alcuni strumenti di IA suggeriscono a sviluppatori pacchetti open source che… in realtà non esistono.

I criminali informatici hanno scoperto che certe allucinazioni tendono a ripetersi. Sfruttano il fenomeno creando pacchetti malevoli usando proprio quei nomi inesistenti e caricandoli su repository affidabili come GitHub o registri di pacchetti. Quando uno sviluppatore chiede a un chatbot consigli su librerie da usare, l’IA può riproporre uno di questi nomi “allucinati”, che però ora corrisponde a un pacchetto reale ma maligno.

Il risultato? Quei pacchetti finiscono nel codice, vengono eseguiti e l’attaccante ottiene accesso ai sistemi dove girano.

Potrebbe sembrare un caso limite, ma una ricerca su 16 modelli di IA per la generazione di codice ha rilevato che quasi il 20% dei pacchetti consigliati non esisteva. Ancora peggio: il 43% dei nomi “allucinati” si ripeteva con la stessa prompt in 10 esecuzioni diverse, semplificando il lavoro ai criminali che possono intercettare i nomi più ricorrenti, pubblicare pacchetti fasulli e farli consigliare di continuo.

Nel test, CodeLlama è risultato il modello con più allucinazioni, mentre GPT-4 Turbo ha mostrato la percentuale più bassa. Questo non significa però che il rischio sia nullo.

Cosa tenere d’occhio

Che tu sia uno sviluppatore esperto, alle prime armi o solo curioso, lo slopsquatting è un rischio concreto. È un parente stretto del typosquatting (dove una singola lettera diversa distingue un dominio legittimo da uno malevolo), ma qui il bersaglio sono i pacchetti software suggeriti dall’IA. Puoi ridurre drasticamente i rischi facendo attenzione a questi segnali:

• Nomi con lievi errori di ortografia

  • Non è una prova certa: molte “allucinazioni” non contengono refusi. Ma se noti una grafia strana o un brand scritto storto, fermati e verifica.

• Assenza di discussioni, issue o feedback

  • Un pacchetto senza attività potrebbe essere solo nuovissimo, ma può anche indicare un progetto fasullo che spera di farsi scoprire tramite suggerimenti IA.

• Segnalazioni o avvisi da altri sviluppatori

  • Non fermarti al consiglio del chatbot: cerca opinioni, thread su forum, issue su GitHub, discussioni su Stack Overflow o Reddit.

• Non consigliato da più piattaforme

  • Prova prompt analoghi su diversi tool di coding assistito: se un pacchetto spunta solo in un posto e mai altrove, sospetto alto.

• Descrizioni vaghe o confuse

  • Il “vibe coding” (accettare suggerimenti senza controlli) è in crescita, ma i pacchetti malevoli spesso hanno descrizioni fumose, incoerenti o generiche nelle pagine ufficiali.

Un ulteriore aiuto: molte piattaforme di IA possono elencare pacchetti di slopsquatting già individuati “in the wild”. Chiedi un riepilogo aggiornato e verifica prima di installare.

Le precauzioni più importanti

Anche sapendo cosa cercare, lo slopsquatting può restare difficile da scovare. È una tecnica relativamente nuova e servirà tempo perché gli strumenti di sicurezza offrano rilevazioni affidabili e automatizzate. Nel frattempo, diversi provider stanno addestrando i modelli per riconoscere nomi/pacchetti allucinati e avvisare gli sviluppatori.

Fino a quando le difese non saranno mature, segui queste tre pratiche chiave:

1. Esegui il codice in un ambiente sicuro (sandbox)

   • Isola le prove su una VM o sandbox prima di integrare qualsiasi dipendenza nel tuo progetto o pipeline.
   • Strumenti come VirtualBox e VMware sono tra le soluzioni gratuite più diffuse per macchine virtuali locali.
   • In alternativa, considera sandbox nel cloud; molte supportano un set limitato di linguaggi.
   • Replit, ad esempio, è molto versatile e supporta oltre 50 linguaggi.

2. Scansiona i pacchetti prima di scaricarli

   • Usa estensioni o servizi che analizzano i metadati e i comportamenti noti delle librerie.
   • La Socket Web Extension è semplice da usare, gratuita e funziona su vari siti per effettuare controlli preventivi. È disponibile per browser basati su Chrome e per Firefox.

3. Verifica sempre i suggerimenti dell’IA

   • L’affidarsi ciecamente ai consigli generati facilita il lavoro agli attaccanti.
   • Lascia che l’IA ti assista, ma controlla:
     • esistenza e reputazione del pacchetto nei registry ufficiali (npm, PyPI, Maven Central, crates.io, ecc.);
     • attività del repository (commit recenti, issue chiuse, numero di contributor);
     • coerenza del maintainer (email, profili, firma, storico);
     • changelog e versione (evita versioni appena pubblicate senza storico);
     • licenza chiara e documentazione sensata.

Se, nonostante tutto, finisci vittima di slopsquatting, aiuta la community:

• Pubblica avvisi su social, forum tecnici e nei repository interessati.
• Apri issue o discussion nei progetti coinvolti.
• Contatta il supporto della piattaforma di IA che hai usato, segnalando il nome del pacchetto malevolo per migliorare il filtraggio e l’addestramento dei modelli.

Condividere tempestivamente le informazioni riduce l’esposizione di altri sviluppatori e alza l’asticella della sicurezza per tutti.