La campagna malware GlassWorm sta alimentando un attacco di supply chain mirato a sviluppatori e aziende che usano GitHub e Python. Gli aggressori sfruttano token GitHub rubati per inserire codice dannoso in centinaia di repository Python, colpendo progetti molto diffusi come applicazioni Django, codice di ricerca per machine learning, dashboard Streamlit e anche pacchetti destinati a PyPI.

Nel recap settimanale di cybersecurity emergono segnali chiari su come le minacce stiano accelerando e diversificando le tecniche. Il punto più urgente riguarda due vulnerabilità zero day di Google Chrome sfruttate attivamente.

Una campagna di cyber spionaggio attribuita a un gruppo APT collegato alla Cina sta prendendo di mira le reti di telecomunicazioni in Sud America almeno dal 2024. Il settore telecom è una delle infrastrutture critiche più appetibili per gli attaccanti perché gestisce traffico, metadati e servizi essenziali, e un accesso prolungato può offrire capacità di intercettazione e movimento laterale verso altri obiettivi strategici.

Apple ha rilasciato aggiornamenti di sicurezza per dispositivi iOS e iPadOS più datati, intervenendo su vulnerabilità sfruttate attivamente dal kit di exploit Coruna. Il punto centrale riguarda una falla di WebKit identificata come CVE 2023 43010, un problema legato alla gestione di contenuti web malevoli che può causare corruzione di memoria.

Una nuova variante della tecnica ClickFix sta attirando l’attenzione nel mondo della cybersecurity per la sua capacità di ingannare l’utente e avviare una catena di infezione con metodi meno comuni rispetto alle campagne precedenti. Il punto di partenza resta la classica pagina web che si finge un controllo captcha e guida la vittima a premere Win + R, incollare un comando e premere Invio.

Un recente caso di supply chain attack su npm ha mostrato quanto sia facile colpire gli sviluppatori tramite un pacchetto malevolo mascherato da installer di OpenClaw. Il pacchetto npm con nome simile a un componente legittimo veniva distribuito come strumento da riga di comando e sfruttava un meccanismo tipico dell’ecosistema Node.js per attivarsi subito dopo l’installazione.

Le campagne di phishing più pericolose oggi non puntano solo a ingannare i dipendenti ma a logorare il Security Operations Center. Quando un’indagine su una singola email richiede ore invece di pochi minuti, la differenza tra incidente contenuto e violazione diventa concreta.

Una recente campagna di furto credenziali sta colpendo utenti e aziende attraverso falsi client VPN distribuiti con tecniche di SEO poisoning. Il metodo sfrutta la fiducia nei risultati dei motori di ricerca e nella reputazione dei software enterprise.

Una campagna di cyber spionaggio attribuita a un gruppo legato alla Cina sta prendendo di mira organizzazioni militari nel Sud Est asiatico almeno dal 2020, con un approccio orientato alla raccolta di intelligence mirata invece che al furto massivo di dati. L’operazione è stata tracciata come CL-STA-1087 e mostra caratteristiche tipiche di una Advanced Persistent Threat (APT), come metodi di consegna curati, tecniche di evasione delle difese, infrastrutture stabili e payload personalizzati per mantenere accesso prolungato ai sistemi compromessi.

Negli ultimi mesi sono state individuate sei nuove famiglie di malware Android progettate per rubare dati dai dispositivi compromessi e facilitare frodi finanziarie. La minaccia riguarda sia trojan bancari tradizionali sia strumenti RAT in grado di offrire controllo remoto completo, con un impatto diretto su app bancarie, pagamenti istantanei e wallet crypto.