La settimana della cybersecurity conferma un trend ormai costante: la finestra tra divulgazione e sfruttamento delle vulnerabilita si sta accorciando e gli attacchi alla supply chain colpiscono strumenti usati ogni giorno nei flussi di sviluppo.
Un caso emblematico riguarda Trivy, uno scanner di vulnerabilita open source molto diffuso. Gli attaccanti hanno compromesso rilasci ufficiali e componenti per GitHub Actions inserendo malware capace di rubare credenziali. In ambienti CI CD questo significa una cosa sola: segreti esposti e pipeline trasformate in un vettore di propagazione.
Quando le chiavi non vengono ruotate rapidamente, il danno si amplifica fino a generare infezioni a catena con comportamenti simili a un worm che si auto diffonde tra progetti collegati.
Sul fronte delle minacce infrastrutturali, le botnet IoT restano un problema enorme. Una operazione di contrasto ha disattivato reti basate su varianti Mirai che avevano arruolato milioni di dispositivi come router, telecamere IP e DVR, spesso protetti da password deboli e raramente aggiornati. Queste reti vengono poi monetizzate offrendo accesso per attacchi DDoS su larga scala, capaci di mettere offline servizi e siti o di coprire altre attivita criminali.
La velocita di weaponization delle falle critiche e altrettanto preoccupante. Una vulnerabilita in Langflow, con combinazione di assenza di autenticazione e code injection, ha visto tentativi di sfruttamento in meno di un giorno con obiettivi orientati al furto di dati. Anche i prodotti di sicurezza non sono immuni: una falla in Cisco FMC sarebbe stata sfruttata come zero day da un gruppo ransomware prima della divulgazione pubblica, evidenziando quanto sia rischioso rimandare patch e hardening dei sistemi di gestione.
Nel mobile cresce la pressione. E stato osservato un exploit kit iOS basato su catene WebKit e kernel, mentre su Android un malware bancario camuffato da app IPTV punta a overlay e keylogging con un interesse particolare per le app note dove molti utenti conservano password e informazioni sensibili. In parallelo Google introduce un flusso avanzato per il sideloading con attesa di 24 ore e verifiche aggiuntive per ridurre le installazioni forzate durante truffe.
Anche la privacy torna centrale con WhatsApp che testa gli username al posto dei numeri e con l attenzione sulle pratiche di acquisto di dati di localizzazione. In questo scenario la priorita operativa resta chiara: proteggere la supply chain, ruotare i segreti, applicare patch critiche e ridurre la superficie di attacco su endpoint e dispositivi mobili.