The Unusual Suspect: quando i repo Git aprono la porta sul retro
Nel mondo della cybersecurity siamo abituati a dare la caccia ai mostri: APT, 0-day, malware super avanzati, ransomware con countdown da film di Hollywood. Ma intanto, nei corridoi silenziosi del codice sorgente, si consumano le vere tragedie. Silenziose, costanti, banali. Repository Git pieni zeppi di credenziali, token, chiavi API e variabili di ambiente spiattellate come fosse la bacheca dell’oratorio.
La notizia la riporta The Hacker News: una nuova campagna di attacchi, soprannominata “The Unusual Suspect”, sfrutta repository Git pubblici e privati per accedere ad ambienti cloud, pipeline CI/CD e database interni, con una facilità che fa più paura di un exploit zero-click. Non c’è magia nera. Non c’è necessità di brute force o social engineering. Serve solo un po’ di pazienza, un motore di ricerca, e… la dabbenaggine di chi commit(a) i segreti senza pensarci due volte.
Il codice è il nuovo perimetro. Ma qualcuno non ha ricevuto la notifica.
L’attacco si basa su una verità semplice, ma devastante: i repository Git sono ormai il centro di gravità permanente del software moderno. Contengono tutto. Codice, configurazioni, log, cronjob, script bash di provisioning, playbook Ansible. E in mezzo a tutta questa roba, spesso ci scappano – anzi, ci cascano – anche file .env, chiavi SSH, config.yml con hardcoded credentials e token OAuth lasciati lì “per fare prima”.
Gli attaccanti lo sanno bene. E lo sfruttano. Con tool automatizzati che scandagliano milioni di repo alla ricerca di stringhe sospette, API key note, access token e pattern classici (AKIA..., ghp_..., eyJhbGciOi...). Appena trovano l’ingresso, entrano. E non bussano.
Il caso tj-actions/changed-files: 23.000 repo esposti, nessuna pietà
A marzo 2025 esplode uno dei casi più eclatanti dell’anno. Una GitHub Action molto usata — tj-actions/changed-files — viene modificata da un attaccante che ha trafugato un GitHub PAT. La nuova versione? Una trappola perfetta: stampa nei log tutte le secrets disponibili nel runner CI/CD. Tutte. E quei log, tanto per gradire, sono pubblici.
Risultato? Migliaia di repository, aziende e sviluppatori si sono ritrovati con le mutande digitali abbassate in piazza. Le loro chiavi AWS, token GCP, PAT GitHub, chiavi Stripe o Twilio… tutte lì, nei log. A disposizione di chiunque sapesse cosa cercare. E gli attaccanti hanno cercato. Eccome se hanno cercato.
L’obiettivo? Non tanto la Action in sé, ma i progetti target che ne facevano uso. Come coinbase/agentkit. Sì, proprio Coinbase. Non stiamo parlando della startup sotto casa.
Non è un problema tecnico. È un problema culturale.
La cosa che fa più rabbia non è l’attacco in sé, ma quanto fosse evitabile. Bastava usare l’hash del commit anziché il tag v4. Bastava fare secret scanning prima del push. Bastava configurare correttamente i permessi delle GitHub Actions. Ma no. Il Dev scrive, commit(a), push(a) e via andare. “Ci penserà qualcun altro a fare la security”. Ecco, news flash: quel qualcun altro non c’è. E quando l’attacco arriva, è sempre troppo tardi.
Qui non serve un patch di sicurezza. Serve una riscrittura del DNA operativo. I repo vanno trattati come asset critici. Le pipeline come potenziali vettori d’attacco. I file .env devono sparire dai commit come le password scritte sui post-it. E i dev devono capire che non sono solo coder, ma i primi difensori dell’infrastruttura.
La CI/CD è il nuovo campo minato
La vera bomba di questi attacchi non è solo l’ingresso iniziale. È ciò che succede dopo. Perché attraverso la CI/CD, l’attaccante può fare praticamente tutto: modificare gli artefatti, inserire backdoor, distribuire payload nei container, creare persistenza nei Lambda, oppure fare exfiltration tranquillo via S3. Tutto questo passando per runner CI pubblici, spesso non monitorati, senza EDR, senza SIEM, e con più privilegi di quanto dovrebbe avere un pentester col cappello bianco.
Se lasci il cancello della pipeline aperto, l’attacco è solo una questione di tempo.
La realtà? È che in troppi stanno dormendo
In questo momento, ci sono migliaia di repository Git con chiavi valide committate. Alcune da sviluppatori freelance che non hanno idea del rischio. Altre da aziende grandi, blasonate, piene di certificazioni ISO e badge SOC2 sul sito. Tutti convinti che “tanto chi vuoi che ci guardi?”. Ma gli attaccanti guardano. E guardano molto più in profondità di quanto crediate.
Questa non è paranoia. È cronaca. E se non iniziamo a trattare i repository come asset strategici, finiranno per essere l’anello debole che ci farà crollare addosso tutta l’impalcatura.
Conclusione
Questa storia ci insegna una cosa: la sicurezza moderna non ha bisogno di eroi, ma di disciplina. Di processi. Di controlli. Di cultura. Perché oggi, più che mai, un semplice git push può diventare l’inizio della fine.
Il nemico non bussa più alla porta. Passa dal repository.
L'articolo The Unusual Suspect: quando i repo Git aprono la porta sul retro proviene da il blog della sicurezza informatica.
CDN friendica reshared this.
Time, Stars, and Tides, All On Your Wrist
When asked ‘what makes you tick?’ the engineers at Vacheron Constantin sure know what to answer – and fast, too. Less than a year after last year’s horological kettlebell, the 960g Berkley Grand Complication, a new invention had to be worked out. And so, they delivered. Vacheron Constantin’s Solaria Ultra Grand Complication is more than just the world’s most complicated wristwatch. It’s a fine bit of precision engineering, packed with 41 complications, 13 pending patents, and a real-time star tracker the size of a 2-Euro coin.
Yes, there’s a Westminster chime and a tourbillon, but the real novelty is a dual-sapphire sky chart that lets you track constellations using a split-second chronograph. Start the chrono at dusk, aim your arrow at the stars, and it’ll tell you when a chosen star will appear overhead that night.
Built by a single watchmaker over eight years, the 36mm-wide movement houses 1,521 parts and 204 jewels. Despite the mad complexity, the watch stays wearable at just 45mm wide and 15mm thick, smaller than your average Seamaster. This is a wonder of analog computational mechanics. Just before you think of getting it gifted for Christmas, think twice – rumors are it’ll be quite pricey.
2025 One-Hertz Challenge: HP Logic Probe Brought Into The Future
[Robert Morrison] had an ancient HP 545A logic probe, which was great for debugging SMT projects. The only problem was that being 45 years old, it wasn’t quite up to scratch when it came to debugging today’s faster circuitry. Thus, he hacked it to do better, and entered it in our 2025 One Hertz Challenge to boot!
[Robert’s] hack relied on the classic logic probe for its stout build and form factor, which is still useful even on today’s smaller hardware. Where it was lacking was in dealing with circuits running at 100 MHz and above. To rectify this, [Robert] gave the probe a brain transplant with a Sparkfun Alorium FPGA board and a small display. The FPGA is programmed to count pulses while measuring pulse widths and time, and it then drives the display to show this data to the user. There’s also a UART output, and [Robert] is actively developing further logic analyzer features, too.
You might be questioning how this project fits in the One Hertz Challenge, given it’s specifically built for running at quite high speeds. [Robert] snuck it in under the line because it resamples and updates the display on a once-a-second basis. Remember, as per the challenge site—”For this challenge, we want you to design a device where something happens once per second.” We’re giving you a lot of leeway here!
Often, old scopes and probes and other gear are really well built. Sometimes, it’s worth taking the best of the old physical hardware and combining it with modern upgrades to make something stout that’s still useful today. Meanwhile, if you’re cooking up your own neo-retro-logic probes, don’t hesitate to notify the tipsline!
lindipendente.online/2025/07/1…
Antonej likes this.
Hackaday Podcast Episode 329: AI Surgery, a Prison Camp Lathe, and a One Hertz Four-Fer
Join Hackaday Editors Elliot Williams and Tom Nardi as they talk about their favorite hacks and stories from the previous week. They’ll start things off with a small Supercon update, and go right into fusion reactors, AI surgeons, planned obsolescence, and robotic cats and dogs. They’ll also go over several entries from the ongoing 2025 One Hertz Challenge, an ambitious flight simulator restoration project, old school lightning detectors, and how Blu-ray won the battle against HD DVD but lost the war against streaming. Stick around to the end to hear an incredible story about a clandestine machine shop in a WWII prisoner of war camp, and the valiant fight to restore communications with the Lunar Trailblazer spacecraft.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
html5-player.libsyn.com/embed/…
Download in DRM-free MP3 and add it to your collection.
Where to Follow Hackaday Podcast
Places to follow Hackaday podcasts:
Episode 329 Show Notes:
News:
What’s that Sound?
- Think you know that sound? Fill out the form for a chance to win a Hackaday Podcast T-Shirt!
Interesting Hacks of the Week:
- Do You Trust This AI For Your Surgery?
- Will HP Create A Carfax System For PCs?
- A Budget Quasi-Direct-Drive Motor Inspired By MIT’s Mini Cheetah
- Robotic Cheetah Teaches A Motors Class
- From Leash To Locomotion: CARA The Robotic Dog
- What Will It Take To Restore A Serious Flight Simulator?
- 2025 One Hertz Challenge: An Ancient Transistor Counts The Seconds
- Michael Covington’s Daily Notebook
- 2025 One Hertz Challenge: Ham Radio Foxhunt Transmitter
- 2025 One Hertz Challenge: Valvano Clock Makes The Seconds Count
- 2025 One Hertz Challenge: Metronalmost Is Gunning For Last Place
Quick Hacks:
- Elliot’s Picks:
- Introducing PooLA Filament: Grass Fiber-Reinforced PLA
- A Collection Of Lightning Detectors
- USB-C Rainbow Ranger: Sensing Volts With Style
- Coroutines In C
- Tom’s Picks:
- Smart Coffee Table To Guide Your Commute
- Blu-ray Won, But At What Cost?
- This Homebrew CPU Got Its Start In The 1990s
Can’t-Miss Articles:
- Hacking When It Counts: DIY Prosthetics And The Prison Camp Lathe
- The Fight To Save Lunar Trailblazer
hackaday.com/2025/07/18/hackad…
Ecco Divergent, l’emerging tech Usa che punta a rilanciare l’industria della Difesa
@Notizie dall'Italia e dal mondo
L’amministrazione Trump ha individuato uno dei suoi principali obiettivi strategici nella ricostruzione della base industriale della difesa statunitense, in difficoltà ormai da diversi anni. In questo contesto si inserisce Divergent Technologies, una
Notizie dall'Italia e dal mondo reshared this.
Scheda elletronica caldaia Aprilia/provincia Latina 40km da Roma - Questo è un post automatico da FediMercatino.it
Prezzo: 200€ $200
Scheda elletronica di una caldaia Riello,la scheda è perfettamente funzionante.
Per la consegna se sei vicino Roma abito a 40 km da Roma ad Aprilia provincia di Latina
Il Mercatino del Fediverso 💵♻️ reshared this.
Dal Baltico al Mar Nero, così la Nato rinforza il fianco orientale contro la Russia
@Notizie dall'Italia e dal mondo
La Nato si prepara a irrobustire la sua presenza sul Fianco Est dell’Alleanza e lo fa con un nuovo piano operativo, rinominato Eastern flank deterrence line. Presentato a Wiesbaden dal generale Christopher Donahue, comandante delle forze Usa in Europa, la nuova strategia guarda alla difesa terrestre
Notizie dall'Italia e dal mondo reshared this.
Si fa presto a dire CISO
@Informatica (Italy e non Italy 😁)
La gestione della sicurezza informatica è un tema complesso e in continua evoluzione e la figura del CISO può fornire un apporto di primaria importanza per le strategie delle organizzazioni. Ma ogni incertezza sul ruolo o sulle competenze si traduce in un rischio nell'affrontare le sfide e le minacce della sicurezza delle informazioni
Informatica (Italy e non Italy 😁) reshared this.
John Adams says "facts do not care about our feelings" in one of the AI-generated videos in PragerU's series partnership with White House.
John Adams says "facts do not care about our feelings" in one of the AI-generated videos in PragerUx27;s series partnership with White House.#AI
White House Partners With PragerU to Make AI-Slopified Founding Fathers
John Adams says "facts do not care about our feelings" in one of the AI-generated videos in PragerU's series partnership with White House.Samantha Cole (404 Media)
Ddl subacquea, così l’Italia prepara la governance. Il commento di Caffio
@Notizie dall'Italia e dal mondo
Il Senato ha approvato in prima lettura, per alzata di mano, il testo del Disegno di legge (Ddl) contenente “Disposizioni in materia di sicurezza delle attività subacquee”apportando minime modifiche alla versione originale. Da segnalare l’astensione di Pd, M5S e Italia Viva quale segno di parziale
Notizie dall'Italia e dal mondo reshared this.
Droni europei, aziende Usa. Cosa sta succedendo con i loyal wingmen
@Notizie dall'Italia e dal mondo
Lo sviluppo dei “Collaborative combat aircraft” (Cca), detti anche “droni gregari” o “loyal wingmen”, rappresenta una delle sfide più rilevanti (e forse prioritarie) nel panorama delle tecnologie emergenti applicate all’ambito della Difesa, con aziende storiche del settore che concorrono con le più innovative start-up per arrivare
Notizie dall'Italia e dal mondo reshared this.
Casu (Pd) a TPI: “Tra Trump e Musk, il Governo non sa più a chi inchinarsi. Ma il futuro è l’indipendenza digitale dell’Italia e dell’Europa da Usa e Cina”
@Politica interna, europea e internazionale
Onorevole Casu, come vicepresidente della Commissione Trasporti della Camera, Lei a Milano ha condiviso l’appello dell’europarlamentare Pierfrancesco Maran e oltre
Politica interna, europea e internazionale reshared this.
freezonemagazine.com/news/lydi…
In libreria dal 29 Agosto 2025 Emily Brontë, Colette, Virginia Woolf, Djuna Barnes, Marina Cvetaeva, Ingeborg Bachmann, Sylvia Plath. Sette pazze. Alle quali vivere non basta. Mangiare, dormire e cucire, è davvero tutta qui, la vita? si chiedono. Sette pazze che seguono ciecamente un richiamo. Sette fanatiche per le quali scrivere è vivere. Lydie […]
L'articolo Lydie Salvayre – Sette donne provi
In
ANALISI. Sweida, minoranze, Israele: il triplo passo falso di Ahmad al-Sharaa
@Notizie dall'Italia e dal mondo
Qualunque sia l'esito, l'ex qaedista presidente siriano uscirà da questa vicenda più indebolito
L'articolo ANALISI. Sweida, minoranze, Israele: il pagineesteri.it/2025/07/18/med…
Notizie dall'Italia e dal mondo reshared this.
Ministero dell'Istruzione
Oggi dalle ore 10.45, presso il Padiglione Italia, il Ministro Giuseppe Valditara incontrerà le delegazioni scolastiche italiane che partecipano a #EXPO2025 Osaka.Telegram
Acquisto occhiali con lenti progressive
Devo mettere gli occhiali, mi servono delle lenti progressive, mi sono fatto fare un paio di preventivi e la "forchetta" tra i prezzi che mi hanno dato è molto alta.
Purtroppo non ho nessun modo di capire quale sia la scelta più razionale e attualmente ho solo due criteri a disposizione:
a) compro le economiche così risparmio;
b) compro le costose perché se costano di più sono migliori ed è meglio non risparmiare sulla salute.
Nessuno dei due criteri mi sembra quello ottimale. L'unica cosa utile sarebbe provarle entrambe e vedere come sono ma ovviamente non è possibile.
Voi che le avete come vi regolate?
Poliversity - Università ricerca e giornalismo reshared this.
Israele ha attaccato l’unica chiesa cattolica nella Striscia di Gaza
Hanno cominciato ad ammazzare cattolici, stai a vedere che adesso comincia a importarcene qualcosa...
La presidente del Consiglio Giorgia Meloni ha condannato l’attacco contro la chiesa e in generale contro la popolazione civile con toni particolarmente duri: in un comunicato ha detto che «sono inaccettabili gli attacchi contro la popolazione civile che Israele sta dimostrando da mesi. Nessuna azione militare può giustificarla.
ilpost.it/2025/07/17/chiesa-sa…
Israele ha attaccato l’unica chiesa cattolica nella Striscia di Gaza
Quella della Sacra Famiglia: tre persone sono state uccise e nove ferite, fra cui il parrocoIl Post
Poliversity - Università ricerca e giornalismo reshared this.
Max - Poliverso 🇪🇺🇮🇹
Unknown parent • •@RFanciola
Io da anni ho problemi nella visione da vicino e li ho risolti ottimamente con gli occhiali da 12-15 euro che vendono in farmacia, adesso però comincio ad aver bisogno anche nella visione da lontano.
Comunque, se mi accorgerò che le lenti progressive non vanno bene al PC (non sei la prima che me lo dice) vorrà dire che per il PC tornerò a usare gli occhiali della farmacia e userò le progressive per tutto il resto.
Max - Poliverso 🇪🇺🇮🇹
Unknown parent • •@RFanciola
Purtroppo io non ho modo di valutare la qualità delle lenti, ho a disposizione solo il loro prezzo e la parola dell'ottico secondo cui quelle più costose sono migliori.