Grafana ha comunicato di aver subito un accesso non autorizzato al proprio ambiente GitHub a causa della compromissione di un token. Questo tipo di violazione, spesso sottovalutata, mostra quanto un singolo segreto esposto possa trasformarsi rapidamente in un incidente di sicurezza con impatti potenzialmente rilevanti sulla proprieta intellettuale.

OpenAI ha comunicato di aver identificato un impatto limitato nel proprio ambiente aziendale a seguito di un attacco alla supply chain che ha colpito TanStack. Due dispositivi di dipendenti sono stati coinvolti tramite il malware noto come Mini Shai Hulud, con attività coerenti con il comportamento già descritto pubblicamente.

Una vulnerabilità critica nel plugin Funnel Builder per WordPress sta venendo sfruttata attivamente per compromettere i pagamenti su WooCommerce attraverso tecniche di checkout skimming. Il problema interessa tutte le versioni precedenti alla 3.15.0.3 e coinvolge un ecosistema molto ampio, con oltre 40.000 negozi WooCommerce che utilizzano questo componente per creare funnel e pagine di checkout personalizzate.

Ricercatori di cybersecurity hanno individuato codice malevolo in alcune versioni del pacchetto npm node-ipc, una libreria molto usata in ambiente Node.js. Le versioni coinvolte sono 9.1.6, 9.2.3 e 12.0.1 e contengono comportamento offuscato riconducibile a stealer e backdoor, con l’obiettivo di rubare segreti di sviluppo e credenziali cloud.

Microsoft ha segnalato una nuova vulnerabilità di sicurezza che riguarda le installazioni on premises di Microsoft Exchange Server e che risulta già sfruttata attivamente in attacchi reali. La falla è tracciata come CVE 2026 42897 con punteggio CVSS 8.1 e viene classificata come problema di spoofing legato a una cross site scripting.

La CISA ha inserito nel catalogo Known Exploited Vulnerabilities la vulnerabilità CVE-2026-20182 che colpisce Cisco Catalyst SD-WAN Controller e che risulta già sfruttata attivamente. Si tratta di un difetto di authentication bypass con punteggio CVSS 10.0, quindi di massima gravità, perché permette a un attaccante remoto non autenticato di aggirare i controlli di accesso e ottenere privilegi amministrativi sul sistema compromesso.

Il gruppo di cyber spionaggio Turla ha evoluto il backdoor Kazuar in una botnet P2P modulare progettata per ottenere accesso persistente e difficile da rilevare sui sistemi compromessi. Questa trasformazione segna un cambio di passo importante nel panorama malware, perché non si tratta più di un impianto monolitico ma di un ecosistema a componenti con ruoli separati, capace di adattarsi e resistere meglio alle interruzioni operative e ai tentativi di analisi.

Nel panorama della sicurezza Linux è emersa una nuova vulnerabilità di local privilege escalation chiamata Fragnesia, tracciata come CVE 2026 46300 con punteggio CVSS 7.8. Il problema riguarda il kernel Linux e in particolare il sottosistema XFRM ESP in TCP, una componente legata a funzionalità IPsec e gestione del traffico cifrato.

Il gruppo di minaccia Ghostwriter, allineato alla Bielorussia e attivo almeno dal 2016, è stato collegato a una nuova ondata di attacchi informatici contro organizzazioni governative in Ucraina. La campagna, osservata da marzo 2026, conferma un profilo di cyber spionaggio costante e in continua evoluzione, con tecniche pensate per ridurre la visibilità e colpire solo bersagli ritenuti di alto valore.

Nel bollettino ThreatsDay di questa settimana emergono segnali chiari su come la sicurezza informatica stia affrontando una combinazione tossica di vulnerabilita sfruttate attivamente, campagne di phishing sempre piu credibili e nuove superfici di attacco legate ai modelli di intelligenza artificiale. Il quadro e reso ancora piu complesso dal fatto che molte intrusioni continuano a funzionare grazie a errori banali come controlli di autorizzazione deboli, fiducia eccessiva in strumenti legittimi e sistemi non aggiornati.