Negli ultimi tempi la sicurezza delle supply chain software è stata messa in seria discussione da una nuova ondata di attacchi che sfruttano pacchetti npm malevoli. Una recente scoperta ha evidenziato come tre pacchetti npm dannosi abbiano preso di mira specificamente utenti macOS dell’editor di codice Cursor, un tool basato su intelligenza artificiale molto apprezzato dalla community degli sviluppatori.

La gestione delle vulnerabilità rappresenta una delle sfide più complesse e pressanti per le aziende moderne. L'approccio reattivo, spesso rallentato da policy e processi interni, mette sotto stress i team di sicurezza che si trovano a fronteggiare un volume sempre crescente di vulnerabilità.

Un recente rapporto di sicurezza informatica ha portato alla luce una vasta operazione di phishing globale, denominata FreeDrain, mirata al furto di seed phrase dei wallet di criptovalute. Questa campagna, attiva da diversi anni, sfrutta su larga scala tecniche di manipolazione SEO e l’utilizzo di servizi web gratuiti come gitbook.io, webflow.io e github.io, insieme a sofisticati schemi di reindirizzamento, per colpire gli utenti delle criptovalute a livello mondiale.

La recente condanna inflitta alla società israeliana NSO Group, costretta a pagare circa 168 milioni di dollari a WhatsApp, rappresenta un momento cruciale nel panorama della sicurezza informatica e della tutela della privacy. La decisione di una giuria federale statunitense arriva dopo che la NSO Group è stata riconosciuta colpevole di aver violato le leggi americane sfruttando una vulnerabilità zero-day nella funzione di chiamata vocale di WhatsApp (CVE-2019-3568, con un punteggio CVSS di 9.8) per installare il potente spyware Pegasus su dispositivi di oltre 1400 utenti in tutto il mondo.