Microsoft ha annunciato di aver interrotto un servizio di malware signing as a service che sfruttava il sistema Artifact Signing per distribuire codice malevolo firmato digitalmente e facilitare attacchi ransomware su larga scala. La campagna è stata attribuita a un attore chiamato Fox Tempest, attivo dal 2025, e l’operazione di contrasto è stata indicata come OpFauxSign.

Nel panorama delle minacce informatiche del 2025 e 2026, un gruppo di attacco associato alla Cina noto come Webworm si distingue per una evoluzione tecnica mirata alla massima discrezione. Le campagne osservate mostrano un passaggio dai classici backdoor completi verso strumenti più difficili da identificare, come proxy personalizzati e canali di comando e controllo che sfruttano servizi legittimi e diffusi.

L’operazione Ramz di Interpol ha segnato una svolta nella lotta al cybercrime in Medio Oriente e Nord Africa. Tra ottobre 2025 e febbraio 2026, un coordinamento senza precedenti tra 13 Paesi della regione MENA ha portato a 201 arresti e all’identificazione di altri 382 sospetti.

Una nuova ondata di attacchi alla supply chain software sta colpendo le dipendenze JavaScript pubblicate su npm, con un focus su pacchetti legati all’ecosistema AntV. In questo scenario, gli aggressori hanno sfruttato la compromissione di un account maintainer per distribuire versioni trojanizzate di librerie molto popolari, tra cui echarts-for-react, un wrapper React per Apache ECharts con circa 1,1 milioni di download settimanali.

GitHub ha avviato una indagine su un possibile accesso non autorizzato ai propri repository interni dopo che un attore di minaccia noto come TeamPCP ha pubblicato su un forum criminale un annuncio di vendita che riguarda presunto codice sorgente e organizzazioni interne. Secondo le informazioni diffuse, la quantita di dati coinvolta sarebbe nell ordine di circa 3800 4000 repository, un numero che risulta coerente con le verifiche in corso.

La settimana della cybersecurity si apre con un tema ricorrente che sta diventando sempre più evidente: la fiducia implicita nei componenti software e nei canali di distribuzione è un punto debole strutturale. Un singolo pacchetto compromesso o una chiave esposta possono trasformarsi rapidamente in accesso al cloud e poi in incidente in produzione.

La sicurezza della supply chain su npm torna al centro dell’attenzione dopo la scoperta di quattro pacchetti malevoli progettati per distribuire infostealer e un malware DDoS chiamato Phantom Bot. I pacchetti, diffusi tramite tecniche di typosquatting e nomi molto simili a librerie legittime, hanno totalizzato migliaia di download e mostrano come un singolo attore possa combinare più catene di infezione per colpire sviluppatori e ambienti di build.

Fast16 è un malware di sabotaggio industriale basato su Lua, progettato per alterare in modo selettivo i risultati di simulazioni critiche legate alla ricerca nucleare. Le analisi più recenti indicano che questo strumento, sviluppato anni prima della prima ondata nota di Stuxnet, era pensato per compromettere simulazioni di detonazioni ad alto esplosivo e di compressione di materiali, elementi centrali nei modelli di progettazione di un ordigno a implosione.

La vulnerabilita CVE 2026 42945 che colpisce NGINX Plus e NGINX Open e gia sfruttata attivamente in rete a pochi giorni dalla divulgazione pubblica. Il problema riguarda un heap buffer overflow nel modulo ngx http rewrite module e interessa un intervallo molto ampio di versioni, da NGINX 0.6.27 fino a 1.30.0.

La campagna GemStuffer sta attirando l’attenzione nel mondo della cybersecurity per un uso insolito della supply chain del software. Invece di puntare alla compromissione di massa degli sviluppatori con codice malevolo nascosto nelle dipendenze, gli attaccanti hanno caricato oltre 150 pacchetti RubyGems con un obiettivo diverso: trasformare il registry in un canale di data exfiltration e archiviazione.