Il worm Shai-Hulud si è diffuso oltre l’ecosistema npm ed è stato scoperto in Maven. Gli specialisti dei socket hanno notato un pacchetto infetto su Maven Central che contiene gli stessi componenti dannosi utilizzati nella seconda ondata di attacchi Shai-Hulud .

Gli esperti hanno identificato il pacchetto org.mvnpm:posthog-node:4.18.1 su Maven Central, che contiene due componenti caratteristici di Shai-Hulud: il loader setup_bun.js e il payload principale bun_environment.js. Attualmente, questo è l’unico pacchetto Java trovato contenente questo malware.

“Il progetto PostHog è stato compromesso sia nell’ecosistema JavaScript/npm che in quello Java/Maven: in tutti i casi è stato utilizzato lo stesso payload, Shai-Hulud v2”, scrivono i ricercatori.

È importante notare che il team di PostHog non pubblica il pacchetto su Maven Central. Le coordinate org.mvnpm vengono generate automaticamente dal processo mvnpm, che ricostruisce i pacchetti NPM in artefatti Maven.

I rappresentanti di Maven Central hanno già annunciato che stanno lavorando a ulteriori misure di sicurezza per impedire il riconfezionamento di componenti npm compromessi.

Ricordiamo che la seconda ondata di attacchi Shai-Hulud, iniziata la scorsa settimana, sta prendendo di mira sviluppatori in tutto il mondo, con l’obiettivo degli aggressori di rubare dati. La nuova versione del worm è diventata più furtiva, consentendo agli aggressori di ottenere l’accesso non autorizzato agli account dei manutentori di npm e di pubblicare versioni di pacchetti infetti a loro nome.

Secondo gli analisti di Wiz , al 24 novembre 2025, più di 25.000 repository GitHub avevano pubblicato segreti rubati alle vittime, con circa 1.000 nuovi repository che apparivano ogni 30 minuti.

Un’analisi tecnica del malware eseguita dagli specialisti di Step Security ha rivelato che il malware è costituito da due file: setup_bun.js (un dropper camuffato da programma di installazione di Bun) e bun_environment.js (10 MB), che utilizza complesse tecniche di offuscamento: una stringa codificata in esadecimale con migliaia di voci, un ciclo separato per l’anti-analisi e una funzione offuscata per estrarre ogni riga di codice.

Una volta infettato, il malware esegue un attacco in cinque fasi, che include il furto di segreti (token GitHub e npm, credenziali AWS, GCP, Azure) e la sovrascrittura distruttiva dell’intera directory home della vittima se non vengono soddisfatte quattro condizioni necessarie: se il malware non riesce ad autenticarsi su GitHub, crea un repository e trova i token GitHub e npm.

Alla fine, i segreti rubati vengono pubblicati nei repository GitHub generati automaticamente con la descrizione “Sha1-Hulud: The Second Coming”.

Come riportato dagli analisti di Aikido Security, gli aggressori hanno sfruttato impostazioni di CI errate nel flusso di lavoro di GitHub Actions. In particolare, gli aggressori hanno sfruttato vulnerabilità nei trigger pull_request_target e workflow_run, che hanno permesso loro di compromettere i progetti AsyncAPI, Postman e PostHog.

Secondo i ricercatori di GitGuardian , OX Security e Wiz, questa campagna dannosa ha causato la fuga di centinaia di token di accesso GitHub e credenziali per AWS, Google Cloud e Azure (oltre 5.000 file con i segreti rubati sono stati caricati su GitHub). Un’analisi di 4.645 repository ha identificato 11.858 segreti univoci, di cui 2.298 ancora validi e accessibili al pubblico al 24 novembre 2025.

L'articolo Il worm Shai-Hulud si diffonde oltre npm e attacca anche Maven proviene da Red Hot Cyber.

L’intelligenza artificiale è attualmente in grado di svolgere lavori equivalenti all’11,7% dell’occupazione negli Stati Uniti. E non solo in teoria: in termini di valore monetario, questo valore è già paragonabile agli stipendi dei lavoratori umani.

Uno studio del MIT, sviluppato nell’ambito del Progetto Iceberg, mostra che, all’attuale livello di sviluppo tecnologico, è possibile automatizzare compiti per un valore di circa 1,2 trilioni di dollari, una quota di mercato in cui l’intelligenza artificiale può già svolgere le stesse funzioni degli esseri umani, pur costando meno.

A differenza delle stime precedenti, basate su ipotesi sulla “suscettibilità delle professioni all’automazione”, i ricercatori si sono concentrati su un altro aspetto: dove esattamente l’IA svolge compiti altrettanto bene degli esseri umani senza comportare costi aggiuntivi per i datori di lavoro. È proprio questo che determina la percentuale dell’11,7%: non come un’illusione per il futuro, ma come una quantità di lavoro molto realistica che può essere esternalizzata agli algoritmi già da ora.

Il progetto Iceberg è stato sviluppato in collaborazione con l’Oak Ridge National Laboratory, sede di Frontier, uno dei supercomputer più potenti al mondo. È stato utilizzato per creare una simulazione dettagliata del mercato del lavoro statunitense: 151 milioni di lavoratori virtuali con diverse occupazioni, competenze e sedi. Il sistema tiene conto di 32.000 competenze in 923 titoli di lavoro, coprendo 3.000 contee in tutto il paese. Questo modello digitale è stato confrontato con le capacità dei moderni sistemi di intelligenza artificiale, dai modelli linguistici ai software specializzati.

È importante capire che lo studio non prevede che l’11,7% dei posti di lavoro scomparirà nel prossimo anno. Significa che l‘intelligenza artificiale può già sostituire gli esseri umani in questi compiti, sia tecnicamente che economicamente. Tuttavia, il divario tra potenziale e pratica effettiva rimane ampio.

Attualmente, l’IA è ampiamente utilizzata nell’IT, principalmente per la programmazione. Queste attività rappresentano circa il 2,2% degli stipendi, ovvero circa 211 miliardi di dollari all’anno. Tuttavia, i ricercatori stimano che un potenziale di automazione molto maggiore si trovi in altri settori, in particolare in quelli precedentemente considerati al di fuori delle capacità delle macchine. Tra questi rientrano le attività di routine in ambito finanziario, sanitario, logistico, delle risorse umane, contabile e legale, professioni a lungo considerate relativamente immuni all’automazione.

Il rischio principale, a quanto pare, non risiede nemmeno nelle catene di produzione, ma nelle routine d’ufficio, dove quotidianamente vengono eseguite attività ripetitive legate alla gestione dei documenti, ai calcoli, all’elaborazione delle richieste e ad altre tipiche funzioni amministrative. L’intelligenza artificiale sta già affrontando questo problema, se non ovunque, almeno in un numero significativo di casi.

Ma questo non significa che la migrazione di massa di persone sia una questione che riguarda i prossimi anni. Precedenti ricerche del MIT (in particolare del laboratorio CSAIL) dimostrano che, anche se la tecnologia può sostituire gli esseri umani, non sempre ha senso. La formazione dei modelli, la riprogettazione dei processi e i costi organizzativi sono spesso proibitivi. Un altro studio, questa volta del MIT Sloan, ha rilevato che l’implementazione dell’IA non ha comportato perdite nette di posti di lavoro tra il 2010 e il 2023. Al contrario, in molti casi le aziende sono cresciute e, insieme al fatturato, è cresciuto anche il numero di dipendenti.

L’indice in sé, calcolato nell’ambito del Progetto Iceberg, non è necessario per le previsioni di licenziamenti. È concepito come strumento di pianificazione: consente di modellare diversi scenari e di comprendere in anticipo dove sia necessario rafforzare la formazione della forza lavoro, rivedere le infrastrutture o sviluppare nuove misure di supporto. Alcuni stati degli Stati Uniti, come Tennessee, Carolina del Nord e Utah, stanno già utilizzando questa piattaforma. Questi stati stanno utilizzando i calcoli per formulare strategie regionali di adattamento all’intelligenza artificiale..

L'articolo L’11,7% dei lavori possono essere sostituiti dall’intelligenza artificiale proviene da Red Hot Cyber.

The Pirate Party of the Netherlands has launched a humanitarian campaign to help Ukraine. You can read more about it in detail here: piratenpartij.nl/help-mee-nett…

They are collecting and delivering used fishing nets to Ukraine. The nets are used to protect civilians from drone attacks. Please amplify their message and make a donation. Local volunteers and European partners will help install the nets over streets and public areas. This simple method saves lives. Click on this link to make a donation.

Their first trip leaves in two weeks. They will regularly update their activities so you can see what we do with the donations. They also welcome volunteers to join the transport team. Interested supporters can email info@piratenpartij.nl.

Please help them spread the word across about this project.

pp-international.net/2025/11/n…

The Sharp PC-G801 was an impressive little pocket computer when it debuted in 1988. However, in the year 2025, a Z80-compatible machine with just 8 kB of RAM is hardly much to get excited about. [shiura] decided to take one of these old machines and upgrade it into something more modern and useful.

The build maintains the best parts of the Sharp design — namely, the case and the keypad. The original circuit board has been entirely ripped out, and a custom PCB was designed to interface with the membrane keypad and host the new internals. [shiura] landed on the Raspberry Pi Zero 2W to run the show. It’s a capable machine that runs Linux rather well and has wireless connectivity out of the box. It’s paired with an ESP32-S3 microcontroller that handles interfacing all the various parts of the original Sharp hardware. It also handles the connection to the 256×64 OLED display. The new setup can run in ESP32-only mode, where it acts as a classic RPN-style calculator. Alternatively, the Pi Zero can be powered up for a full-fat computing experience.

The result of this work is a great little cyberdeck that looks straight out of the 1980s, but with far more capability. We’ve seen a few of these old pocket computers pop up before, too.

youtube.com/embed/T_GSy2BSDts?…

hackaday.com/2025/11/28/damage…

noblogo.org/transit/il-premier…

Transit

2025-11-27 13:55:44

Il premier pigliatutto: come il governo Meloni svuota le Camere.

(182)

Il #governoMeloni spinge con decisione sulla riforma del #premierato, con l'intenzione di discuterla alla Camera già a gennaio 2026. L'idea centrale è introdurre l'elezione diretta del presidente del Consiglio, abbinata a un premio di maggioranza che assegni il 55% dei seggi alla coalizione vincitrice anche con quote di voto inferiori al 40%. Questo schema promette “stabilità”, ma rischia di alterare profondamente gli equilibri costituzionali, concentrando poteri nelle mani del capo del governo.​

Le modifiche agli articoli 92 e 94 della Costituzione prevedono un premier legittimato direttamente dal voto popolare, con fiducia parlamentare solo formale. Una “norma anti-ribaltone” che limiterebbe le crisi di governo a sostituzioni interne alla stessa coalizione, sotto pena di scioglimento delle Camere. Il “Presidente della Repubblica” perderebbe autonomia nella nomina del capo del governo e nelle fasi di stallo, diventando figura di ratifica piuttosto che garante. Molti costituzionalisti sottolineano come questo crei uno squilibrio tra poteri, con un esecutivo dominante e un Parlamento indebolito.​

La legge elettorale collegata adotterebbe un proporzionale con premio maggioritario, sul modello regionale, per blindare maggioranze artificiali. La Russa e Fazzolari ritengono i “tempi maturi”, ma il disegno solleva interrogativi sulla reale efficacia contro l'instabilità.​

Già oggi l’esecutivo Meloni ha usato il ricorso a decreti-legge (32 su 103 leggi nella prima fase) e voti di fiducia, comprimendo il dibattito parlamentare, limitando emendamenti e commissioni. Il premierato aggraverebbe questa tendenza: con maggioranza garantita e sfiducia impraticabile, le Camere diverrebbero sedi di approvazione automatica, private di controllo reale sull'esecutivo.

Si passerebbe da una democrazia parlamentare a un sistema ibrido, dove il leader eletto prevale sul pluralismo rappresentativo.​ Non manca qualche dissenso o dubbio tra i partiti di governo, soprattutto in merito all’abbandono dei collegi uninominali proprio da parte di chi aveva fatto di quell’elemento uno dei pilastri elettorali. La “Lega” e “Forza Italia” manifestano riserve sulla forma della legge elettorale che accompagna il premierato e sull’effettiva possibilità di avere sulla scheda il nome del candidato premier.

Queste tensioni interne, seppure non in grado finora di fermare i piani di “Fratelli d’Italia”, indicano che la riforma non è un progetto unanimemente condiviso all’interno della stessa coalizione di governo.​ Le critiche di esperti evidenziano un “premier pigliatutto” che influenzerebbe nomine chiave (dal Quirinale alla Consulta) senza contrappesi adeguati. Non risolve i problemi di governabilità, ma li sposta verso una verticalizzazione del potere che riduce spazi per opposizioni e mediazioni.L'Italia ha bisogno di rafforzare il Parlamento, non di ridurlo a esecutore di un leader plebiscitario.

Una riforma così profonda merita un esame puntiglioso e per nulla ammiccante, ma i rischi per la democrazia parlamentare appaiono evidenti.

E’ la mossa decisamente più importante e pericolosa di un esecutivo che, finora, ha brillato solo per la sua scarsa qualità politica e morale. Un modo per avvicinarsi, con decisione, ad una idea di Stato inchiodato ad una donna (o uomo) forte. E, pur ammettendo che il paragone è trito, molti Italiani pensano, nella loro idea di storia al contrario, che questa sia ancora la soluzione migliore. Un allarme democratico che tutti coloro che si rispecchiano nella Costituzione e nella democrazia devono cogliere e combattere.

#Premierato #Italia #Politica #Costituzione #Opinioni #Blog

Mastodon: @alda7069@mastodon.unoTelegram: t.me/transitblogFriendica: @danmatt@poliverso.orgBlue Sky: bsky.app/profile/mattiolidanie…Bio Site (tutto in un posto solo, diamine): bio.site/danielemattioli

Gli scritti sono tutelati da “Creative Commons” (qui)

Tutte le opinioni qui riportate sono da considerarsi personali. Per eventuali problemi riscontrati con i testi, si prega di scrivere a: corubomatt@gmail.com

Transit

Il blog di Alessandra Corubolo & Daniele Mattioli. On line -in varie forme- dal 2005.

^Telegram