Italų saugumo tyrėjas Rosario Valotta sukūrė pirmąjį interneto kirminą, galintį plisti per tarptinklinių scenarijų (CSS/XSS) spragas iškart keliose internetinse pašto tarnybose. Koncepcinis kirminas „Nduja Connection” gali plisti daug sparčiau, nei kirminai, besinaudojantys tik viena pašto tarnyba.
Pašto kirminai paprastai plinta adresais, rastais aukos pašto dėžutėje. Kad kirminas pradėtų plisti, naudotojui pakanka atidaryti laišką kirminui pradėti plisti naudotojui užtenka atverti laišką. Senieji pašto kirminai „apimdavo” tik vieną pašto klientą, o Valotta kirminas gali plisti iškart keturiuose: Libero.it, Tiscali.it, Lycos.it ir Excite.com.
Internetinio pašto teikėjai išsirinkti ne atsitiktinai, sako tyrėjas. Visi jie pažeidžiami vienos CSS/XSS spragos. Tokie pažeidžiamumai yra ir žinomesnėse pašto tarnybose: „Gmail”, „Yahoo”, „Hotmail”, bet jie nėra tokie rimti, kad padėtų plisti tokio tipo kirminams.
Priminsime: internetinio pašto kirminų istorija prasidėjo nuo Yamanner, pasirodžiusi 2006-aisiais ir plitusio per „Yahoo” pažeidžiamumą. Vienu faktorių, padedančių plisti kirminams per internetinių pašto tarnybų sąsajas yra praktiškai būtinas tokių puslapių reikalavimas – įjungtas „JavaScript” palaikymas.