La campagna Megalodon sta riscrivendo le regole degli attacchi alla supply chain su GitHub, puntando in modo diretto alle pipeline di automazione. In poche ore sono stati registrati migliaia di commit malevoli distribuiti su oltre cinquemila repository, con l’obiettivo di inserire workflow di GitHub Actions modificati e pronti a sottrarre segreti e credenziali.

Un recente attacco alla supply chain software ha colpito Packagist, il repository di riferimento per i pacchetti PHP basati su Composer, coinvolgendo otto pacchetti che contenevano codice malevolo capace di eseguire malware su Linux. Il dettaglio più insidioso è che la manomissione non era nel classico composer.json, ma in package.json, sfruttando gli script di lifecycle tipici dell’ecosistema JavaScript.

Nel panorama della sicurezza informatica su Windows i driver in kernel mode rappresentano un bersaglio di grande valore. Oltre alla classica escalation di privilegi locale, i driver vulnerabili vengono spesso sfruttati in attacchi BYOVD (bring your own vulnerable driver), una tecnica post exploitation usata per aggirare o disattivare difese come EDR e componenti di sicurezza resistenti al tampering.

L’arresto in Canada di un presunto operatore di botnet DDoS riporta al centro dell’attenzione il fenomeno del DDoS for hire e dei servizi di cybercrime as a service. Secondo le autorità statunitensi, un uomo di 23 anni di Ottawa è stato fermato con l’accusa di aver sviluppato e gestito una botnet chiamata Kimwolf, usata per lanciare attacchi di tipo distributed denial of service contro obiettivi in tutto il mondo.

Le autorità di Europa e Nord America hanno annunciato lo smantellamento di un servizio VPN criminale noto come First VPN, utilizzato da attori malevoli per nascondere l’origine di attacchi ransomware, furti di dati, attività di scanning e attacchi denial of service. L’operazione, denominata Operation Saffron, rappresenta un colpo importante alle infrastrutture di anonimizzazione impiegate nel cybercrime, perché colpisce direttamente uno strumento pensato per rendere più difficile il lavoro delle forze dell’ordine.

La campagna di phishing attribuita al gruppo Ghostwriter, noto anche con altre sigle operative, sta prendendo di mira enti governativi ucraini sfruttando come esca Prometheus, una piattaforma di apprendimento online molto diffusa nel paese. Secondo le informazioni tecniche disponibili, l’attività risulta attiva dalla primavera 2026 e si basa sull’invio di email malevole provenienti da account compromessi, un dettaglio che aumenta la credibilità dei messaggi e riduce le possibilità che vengano bloccati dai filtri antispam.

Il malware Linux Showboat è al centro di una campagna di cyber spionaggio che ha preso di mira un operatore di telecomunicazioni in Medio Oriente almeno dalla metà del 2022. Si tratta di un framework modulare di post-exploitation progettato per sistemi Linux, pensato per garantire agli attaccanti un accesso stabile e flessibile dopo la compromissione iniziale.

Microsoft ha rilasciato una mitigazione per YellowKey, una vulnerabilita zero day che consente il bypass di BitLocker ed e tracciata come CVE 2026 45585 con punteggio CVSS 6.8. Il problema e classificato come bypass di una funzionalita di sicurezza e riguarda diversi sistemi, tra cui Windows 11 nelle versioni 26H1 24H2 e 25H2 su architettura x64, oltre a Windows Server 2025 anche in installazione Server Core.

Nel panorama della cybersecurity di questa settimana emerge un filo conduttore chiaro: le intrusioni non dipendono sempre da tecniche clamorose, ma dall’abuso di ciò che consideriamo normale e affidabile: aggiornamenti, pacchetti software, strumenti cloud, account con privilegi e perfino chat di assistenza. Un semplice token esposto, un pacchetto malevolo inserito nella supply chain o una procedura di accesso aggirata con ingegneria sociale possono aprire la strada a compromissioni estese senza bisogno di malware tradizionale.

GitHub ha confermato una violazione che ha coinvolto i suoi repository interni a causa della compromissione di un dispositivo aziendale. Il punto critico non è stato un attacco diretto alla piattaforma, ma una classica minaccia di supply chain che ha sfruttato uno strumento molto usato dagli sviluppatori: una versione malevola dell’estensione Nx Console per Visual Studio Code.