Una nuova catena di infezione sta prendendo di mira gli sviluppatori sfruttando Microsoft Visual Studio Code e, in particolare, le attività automatiche definite nel file tasks.json. La tecnica si basa sull’opzione runOn: folderOpen, che permette di avviare un task in modo automatico quando si apre una cartella di progetto in VS Code.

Negli Stati Uniti un cittadino russo di 26 anni è stato condannato a 6,75 anni di carcere per il suo ruolo nel favorire attacchi ransomware contro aziende e organizzazioni statunitensi. Il caso mette in luce un anello cruciale della filiera del cybercrime moderno, quello degli initial access broker, figure specializzate nell’ottenere accesso non autorizzato a reti e sistemi e nel rivendere poi queste porte di ingresso a gruppi criminali più strutturati.

Una campagna di phishing sta prendendo di mira ambienti aziendali francofoni usando falsi curriculum inviati via email come esca. Il file allegato sembra un normale documento CV, ma in realta contiene uno script VBScript altamente offuscato che avvia una catena di infezione progettata per rubare credenziali e installare un crypto miner, spesso puntando alla criptovaluta Monero.

La campagna malware GlassWorm sta mostrando una nuova evoluzione che combina tecniche di supply chain attack con un framework multistadio pensato per il furto di dati e la distribuzione di un RAT (Remote Access Trojan). Il punto di forza di questa variante è l’uso di dead drop non convenzionali come la blockchain Solana e persino Google Calendar per nascondere e recuperare le informazioni di comando e controllo, rendendo più difficile il blocco delle infrastrutture malevole.

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato una condanna a due anni di carcere nei confronti di un cittadino russo ritenuto coinvolto nella gestione di una botnet usata come piattaforma per attacchi ransomware contro aziende americane. Oltre alla pena detentiva è stata stabilita anche una multa di 100000 dollari.

La settimana della cybersecurity conferma un trend ormai costante: la finestra tra divulgazione e sfruttamento delle vulnerabilita si sta accorciando e gli attacchi alla supply chain colpiscono strumenti usati ogni giorno nei flussi di sviluppo.

Un caso emblematico riguarda Trivy, uno scanner di vulnerabilita open source molto diffuso. Gli attaccanti hanno compromesso rilasci ufficiali e componenti per GitHub Actions inserendo malware capace di rubare credenziali. In ambienti CI CD questo significa una cosa sola: segreti esposti e pipeline trasformate in un vettore di propagazione.

Nel nuovo panorama della cybersecurity le minacce non arrivano sempre con segnali evidenti. La settimana analizzata nel ThreatsDay Bulletin mostra un insieme di tecniche silenziose ma efficaci che sfruttano fiducia implicita, abitudini degli utenti e infrastrutture difficili da bloccare in modo definitivo.

Nel panorama della cyber sicurezza la differenza tra un aggiornamento ordinario e un incidente grave si sta assottigliando. Ladozione di strumenti basati su intelligenza artificiale dispositivi connessi e automazione aumenta la superficie di attacco e rende piu facile trasformare una piccola svista in una compromissione completa.

Una nuova campagna di cyber spionaggio ha preso di mira enti governativi e organizzazioni legate alle politiche pubbliche negli Stati Uniti, sfruttando esche a tema geopolitico per distribuire una backdoor chiamata LOTUSLITE. Il vettore iniziale è un attacco di spear phishing che fa leva su contenuti collegati alle tensioni tra Stati Uniti e Venezuela, un contesto ideale per aumentare la credibilità delle email e spingere l’utente ad aprire allegati apparentemente rilevanti.

Le autorità ucraine e tedesche hanno identificato due cittadini ucraini sospettati di aver collaborato con Black Basta, un gruppo ransomware as a service collegato alla Russia e noto per attacchi informatici contro aziende in Nord America, Europa e Australia. L’indagine descrive un modello operativo tipico del ransomware moderno, dove ruoli diversi lavorano in modo coordinato per ottenere accesso iniziale, muoversi nella rete e infine cifrare i dati per chiedere un riscatto in criptovaluta.