Il panorama della sicurezza informatica si conferma sempre più complesso e dinamico, con minacce che sfruttano strumenti e servizi quotidiani per colpire organizzazioni e utenti. L’ultimo grande allarme riguarda il ritorno del worm Shai-Hulud, che ha infettato la registry npm per la seconda volta, compromettendo oltre 800 pacchetti e migliaia di repository su GitHub. L’obiettivo della campagna malware era l’esfiltrazione di dati sensibili come API key, credenziali cloud e token di autenticazione, attaccando la supply chain software e introducendo backdoor nei pacchetti npm delle vittime. Lo stratagemma tecnico, tra le altre cose, includeva l’installazione dinamica di Bun per aggirare i controlli su Node.js, aumentando la probabilità di eludere le difese tradizionali focalizzate su Node.

Altri attacchi e campagne in evidenza

Oltre al worm npm, la settimana è stata segnata da diversi attacchi e vulnerabilità gravi. Il gruppo APT ToddyCat è evoluto passando dal furto di credenziali browser al furto di archivi email e token Microsoft 365, colpendo la posta e le infrastrutture cloud aziendali. In Corea del Sud, un attacco supply chain ha compromesso un provider MSP e distribuito ransomware Qilin a numerose società finanziarie, esfiltrando milioni di file. Intanto, la CISA statunitense mette in guardia contro campagne spyware che sfruttano RAT e tecniche di ingegneria sociale per infettare dispositivi mobili di utenti di app di messaggistica, puntando in particolare a funzionari e organizzazioni di interesse strategico.

Vulnerabilità critiche della settimana

Tra le vulnerabilità più critiche emerse troviamo una serie di CVE che coinvolgono software come Fluent Bit, Tenda, vLLM, ASUS, GitLab e Angular, oltre a una grave falla in Next.js che permette attacchi DoS senza autenticazione. Menzione speciale anche per la vulnerabilità RCE in Firefox WebAssembly, che ha consentito a potenziali aggressori di eseguire codice arbitrario sfruttando una debolezza nella gestione della memoria.

Cronaca e scenari internazionali

Sul fronte internazionale, la cronaca registra la detenzione in Polonia di un cittadino russo accusato di hacking, l’abbattimento del servizio di mixing crypto Cryptomixer da parte di Europol, nuove tecniche di frode basate su AI e la pubblicità di LLM malevoli per automatizzare la creazione di phishing e malware. Da segnalare anche attacchi a dispositivi IoT come le cornici digitali Uhale, vulnerabili a infezioni e controllo remoto.

La sicurezza informatica oggi richiede attenzione costante, aggiornamento tempestivo delle proprie infrastrutture e consapevolezza dei rischi anche nei sistemi apparentemente più innocui. Gli attaccanti puntano su errori banali, configurazioni deboli e strumenti di uso quotidiano, dimostrando che nessuno può ritenersi fuori dalla portata delle nuove minacce.