Un nuovo tipo di truffa sugli investimenti sta emergendo nel panorama digitale, sfruttando abilmente la tecnologia e i social media per ingannare le vittime. Questa truffa utilizza una combinazione di annunci malevoli sui social media, post aziendali falsi e testimonianze video generate da intelligenza artificiale (AI) con volti di personaggi famosi.

Un recente attacco informatico ha visto il furto di oltre 390.000 credenziali di WordPress attraverso un repository GitHub malevolo, che millantava di offrire strumenti legittimi per la gestione dei contenuti online. Questa campagna è stata orchestrata da un attore minaccioso noto come MUT-1244, come riferito da Datadog Security Labs.

Recentemente, sono stati individuati attori malevoli che hanno caricato pacchetti npm contraffatti che imitano strumenti legittimi, come typescript-eslint e @types/node, accumulando migliaia di download. Questi pacchetti falsi, denominati @typescript_eslinter/eslint e types-node, sono progettati per scaricare un trojan e recuperare payload di seconda fase, mettendo a rischio la sicurezza della catena di approvvigionamento software.

In un mondo sempre più digitale, le minacce informatiche evolvono continuamente, mettendo alla prova la sicurezza di organizzazioni e individui. Recentemente, è stata identificata una campagna di phishing particolarmente sofisticata che utilizza documenti MSC (Microsoft Common Console Document) per attaccare bersagli in Pakistan.