Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Supply Chain in Crisi: Axios su npm compromesso, WAVESHAPER V2 e zero-day Chrome mettono a rischio milioni di utenti
La settimana della cybersecurity ha mostrato quanto sia fragile la catena di fiducia che sostiene software e servizi usati ogni giorno. Il caso più rilevante riguarda la compromissione di un pacchetto npm molto diffuso, Axios, con quasi 100 milioni di download settimanali.
Gli attaccanti hanno preso il controllo dell’account del maintainer e hanno pubblicato versioni malevole contenenti un malware multipiattaforma chiamato WAVESHAPER V2. Anche se la finestra di distribuzione è stata breve, l’impatto potenziale è enorme perché molte organizzazioni possono aver ereditato il codice compromesso tramite dipendenze indirette e pipeline di build, senza installare Axios in modo esplicito. Questo tipo di attacco alla supply chain software evidenzia perché oggi la superficie di attacco include CI/CD, ambienti di sviluppo e gestione delle dipendenze.
Sul fronte vulnerabilità, spicca un aggiornamento urgente per Google Chrome che corregge un bug zero-day sfruttato attivamente. La falla, CVE-2026-5281, è un use-after-free nel componente Dawn legato a WebGPU. In pratica, un difetto in un componente moderno del browser può diventare un vettore di compromissione reale prima ancora che molte aziende riescano a distribuire le patch. La raccomandazione operativa è chiara: aggiornare subito Chrome alle versioni corrette per Windows, macOS e Linux e accelerare i processi di patch management per i software esposti agli utenti.
Anche Fortinet ha rilasciato patch fuori banda per FortiClient EMS a causa di una vulnerabilità critica sfruttata in rete, CVE-2026-35616, descritta come bypass di accesso API pre-autenticazione con possibile escalation di privilegi. Il fatto che più falle critiche nello stesso prodotto finiscano rapidamente sotto attacco conferma un trend: il tempo tra disclosure e sfruttamento si sta riducendo e i sistemi di gestione remota e gli strumenti enterprise sono bersagli prioritari.
Parallelamente cresce il phishing tramite device code, che abusa i flussi OAuth per indurre gli utenti a concedere token di accesso ad applicazioni controllate dagli attaccanti. Questa tecnica si sta diffondendo su piattaforme molto usate e rende indispensabile rafforzare controlli su autorizzazioni, app consentite e monitoraggio dei token.