Lots of people swear by large-language model (LLM) AIs for writing code. Lots of people swear at them. Still others may be planning to exploit their peculiarities, according to [Joe Spracklen] and other researchers at USTA. At least, the researchers have found a potential exploit in ‘vibe coding’.

Everyone who has used an LLM knows they have a propensity to “hallucinate”– that is, to go off the rails and create plausible-sounding gibberish. When you’re vibe coding, that gibberish is likely to make it into your program. Normally, that just means errors. If you are working in an environment that uses a package manager, however (like npm in Node.js, or PiPy in Python, CRAN in R-studio) that plausible-sounding nonsense code may end up calling for a fake package.

A clever attacker might be able to determine what sort of false packages the LLM is hallucinating, and inject them as a vector for malicious code. It’s more likely than you think– while CodeLlama was the worst offender, the most accurate model tested (ChatGPT4) still generated these false packages at a rate of over 5%. The researchers were able to come up with a number of mitigation strategies in their full paper, but this is a sobering reminder that an AI cannot take responsibility. Ultimately it is up to us, the programmers, to ensure the integrity and security of our code, and of the libraries we include in it.

We just had a rollicking discussion of vibe coding, which some of you seemed quite taken with. Others agreed that ChatGPT is the worst summer intern ever. Love it or hate it, it’s likely this won’t be the last time we hear of security concerns brought up by this new method of programming.

Special thanks to [Wolfgang Friedrich] for sending this into our tip line.

hackaday.com/2025/04/12/vibe-c…

La recente scomparsa di Andrea Prospero, avvenuta a Perugia dopo l’ingestione di pasticche di Oxycodone (meglio noto come OxyContin), ha acceso i riflettori su un fenomeno preoccupante che si sta espandendo in silenzio tra i giovani: l’abuso di farmaci oppioidi acquistati illegalmente sul web.

Numerosi servizi di Chi l’ha visto? su Rai Tre hanno acceso i riflettori su questo fenomeno, che purtroppo non rappresenta un caso isolato. La vendita e l’acquisto di sostanze stupefacenti, infatti, fanno parte della storia di Internet sin dai tempi di Silk Road, il primo grande mercato Underground online.

Secondo le ricostruzioni, Andrea aveva ottenuto le pillole attraverso canali di vendita attivi su Telegram, dove gruppi organizzati offrivano farmaci contraffatti o rubati, spesso spacciati come sicuri grazie a false ricette mediche.

Nelle nostre analisi, abbiamo identificato diversi mercati underground che permettono l’acquisto di grandi quantità di pasticche di OxyContin senza necessità di prescrizione medica, con il pagamento effettuato tramite criptovalute per garantire anonimato e sicurezza nelle transazioni.

Abbiamo approfondito il fenomeno all’interno dei mercati underground criminali per capire quanto sia diventato facile, oggi (ma anche in passato), per chiunque disponga di un computer e di una conoscenza di base delle criptovalute, acquistare sostanze illegali con pochi click.

I Mercati della droga nelle underground

L’acquisto di droghe su Internet non è un fenomeno recente. Fin dagli albori del cosiddetto “dark web”, le sostanze stupefacenti hanno rappresentato una delle principali merci scambiate attraverso piattaforme clandestine. La storia di questo fenomeno è strettamente legata a quella di Silk Road, il primo grande mercato nero online.

Silk Road nacque nel febbraio del 2011, fondato da Ross Ulbricht, conosciuto con il nickname “Dread Pirate Roberts“. Il sito, accessibile solo attraverso la rete anonima Tor, fu pensato come un vero e proprio “Amazon delle droghe”: un marketplace in cui gli utenti potevano acquistare cannabis, LSD, MDMA, eroina e una vasta gamma di altri stupefacenti, pagando in Bitcoin per garantire l’anonimato.

La piattaforma offriva un sistema di recensioni e feedback sui venditori, creando una parvenza di “fiducia” tra compratori e spacciatori. Gli amministratori di Silk Road fungevano da intermediari per le transazioni, trattenendo una percentuale sulle vendite.

Nonostante i suoi sforzi per restare nascosto, Silk Road venne chiuso nell’ottobre del 2013 dall’FBI, dopo oltre due anni e mezzo di attività. Al momento della sua chiusura, contava più di 13.000 annunci di vendita di droghe.

Oggi, a distanza di oltre un decennio, il commercio di sostanze stupefacenti online è tutt’altro che scomparso. Al contrario, si è evoluto e radicato, con decine di marketplace attivi che operano su modelli simili a quello inaugurato da Silk Road. Acquistare droghe su Internet resta, ancora oggi, uno dei business principali delle underground criminali.

Secondo il World Drug Report 2021 redatto dall’UNODC (United Nations Office on Drugs and Crime), il mercato globale delle droghe online ha registrato un incremento vertiginoso negli ultimi anni. Nel 2020, si stimava che i mercati del dark web generassero circa 315 milioni di dollari. Oggi, le notizie più recenti di Europol parlano di un mercato che si avvicina a 1,2 miliardi di dollari, sebbene questi numeri rimangano ancora provvisori e in fase di definizione.

La nostra analisi

Nonostante il fenomeno sia già noto, abbiamo ritenuto fondamentale verificarne di persona la gravità attuale, esplorando alcuni mercati underground del dark web. Ecco cosa abbiamo constatato:

• L’Oxycodone viene venduto a pacchetti, dove maggiore è la quantità maggiore è lo sconto;
• I venditori promettono spedizioni “sicure e anonime” anche in Italia;
• E’ possibile acquistare in modo anonimo attraverso meccanismi di escrow (attraverso un intermediario);
• Non è necessaria nessuna prescrizione: basta pagare in criptovaluta e attendere la spedizione postale.

La situazione è allarmante: decine di canali underground offrono qualsiasi tipologia di farmaco, sfruttando la fragilità e l’ingenuità di ragazzi ed adulti. Tra i ragazzi, diversi fattori spiegano la crescita dell’uso di Oxycodone tra i giovani:

• Apparenza innocua: viene percepito come “meno pericoloso” rispetto all’eroina o alla cocaina perché è un “farmaco da farmacia”;
• Facilità di reperibilità online: i social come Telegram e i marketplace del dark web abbondano di offerte;
• Costo relativamente basso rispetto ad altre droghe illegali;
• Ignoranza sui rischi reali: molti ragazzi non conoscono la rapidità con cui l’Oxycodone può portare alla dipendenza o a un’overdose.

L’Oxycodone non è un farmaco leggero; è un potente analgesico oppioide utilizzato per il trattamento del dolore grave e cronico. A livello terapeutico, viene prescritto principalmente a pazienti che soffrono di dolore intenso, come quelli con tumori o lesioni gravi, e viene somministrato sotto stretto controllo medico per evitare abusi e dipendenze. Non è indicato per il trattamento del dolore lieve o moderato, e il suo uso deve essere attentamente monitorato per prevenire effetti collaterali gravi, inclusa la dipendenza.
Skeletal formula dell’oxycodone (fonte wikipedia)
L’uso fuori controllo può portare a:

• Depressione respiratoria
• Coma
• Morte per overdose, come purtroppo è accaduto ad Andrea.

E basta una sola dose sbagliata per trasformare una ricerca di “sballo” in una tragedia irreversibile.

La tragica morte di Andrea deve essere un campanello d’allarme per tutti noi. Non possiamo più chiudere gli occhi di fronte a un fenomeno (seppur conosciuto) che cresce silenziosamente, mettendo a rischio la vita di tanti giovani. È fondamentale intervenire in modo deciso su più fronti: prima di tutto, la cosa principale è la consapevolezza del rischio ed è essenziale informare correttamente i ragazzi da parte dei genitori, sensibilizzandoli sui pericoli legati all’acquisto e all’uso di farmaci come l’Oxycodone, spesso reperibili con estrema facilità online.

È altrettanto importante rendere più difficile l’accesso illegale a questi farmaci, intensificando i controlli sui mercati online e aumentando la sicurezza nelle transazioni digitali. Inoltre, bisogna riconoscere i segnali di abuso fin dai primi segni, in modo da poter intervenire tempestivamente. Infine, è necessario promuovere controlli più serrati su social network e nel dark web, dove spesso si celano traffici illeciti più difficili da sradicare.

Parlarne non basta più: è il momento di agire concretamente per proteggere le vite dei nostri giovani e arginare questo pericolo crescente.

I mercati del Dark Web

I mercati nel dark web sono da sempre un punto di riferimento per l’acquisto di sostanze stupefacenti a prezzi decisamente modici, con il pagamento effettuato attraverso criptovalute per garantire l’anonimato delle transazioni. Questi mercati, che operano sotto il radar delle forze dell’ordine, permettono agli acquirenti di accedere facilmente a farmaci come l’Oxycodone e altre sostanze pericolose.
Vendita di pasticche di Oxycodone nel market underground NEXUS
I prezzi possono variare in base alla quantità acquistata: ad esempio, una singola pasticca può costare circa 15 dollari, mentre è possibile acquistare un blocco di 100 pillole per circa 830 euro. La facilità con cui è possibile accedere a questi farmaci, unita all’anonimato garantito dalle criptovalute e dal dark web, rende il fenomeno particolarmente insidioso e pericoloso, specialmente per i giovani che potrebbero cadere in questa rete di traffico illecito.
Dettaglio della vendita di pasticche di Oxycodone nel market underground NEXUS
I mercati nel dark web non solo permettono l’acquisto diretto di sostanze stupefacenti a prezzi contenuti, ma offrono anche opportunità per coloro che desiderano fare affari illeciti rivendendo le droghe a prezzi maggiorati. Acquistando grosse quantità di farmaci come l’Oxycodone, gli utenti possono successivamente rivenderle su piattaforme come Telegram o attraverso altri canali di commercio illecito, ottenendo profitti sostanziosi.
Dettaglio della vendita di pasticche di Oxycodone nel market underground TOR Amazon
Questo meccanismo di acquisto e rivendita alimenta un circolo vizioso di traffico di sostanze, dove chi si inserisce nel sistema può moltiplicare il proprio guadagno rivendendo a prezzi più alti, sfruttando la domanda crescente e l’anonimato garantito dalla rete. Questo tipo di attività rende ancora più difficile il controllo del fenomeno e amplifica i rischi associati al traffico di droghe online.
Dettaglio della vendita di pasticche di Oxycodone nel market underground Anubis Schermata di dettaglio dove vengono riportati i prezzi sulla base delle quantità di Oxycodone acquistato
I mercati underground operano in modo simile ai tradizionali e-commerce, ma con l’obiettivo di facilitare il commercio di beni illeciti, come le sostanze stupefacenti. Come nei normali marketplace online, anche in questi ambienti vengono utilizzati sistemi di feedback che permettono agli acquirenti di lasciare recensioni sui venditori, creando un sistema di fiducia che aiuta a garantire la qualità e l’affidabilità delle transazioni.

Inoltre, molti di questi mercati fanno uso del meccanismo dell’escrow (escussione), un sistema di protezione delle transazioni che consente di “congelare” il pagamento fino a quando l’acquirente non conferma di aver ricevuto correttamente il prodotto. In altre parole, l’escrow agisce come una terza parte neutrale, trattenendo i fondi fino a quando non vengono soddisfatti tutti i termini dell’accordo, riducendo il rischio di frodi sia per gli acquirenti che per i venditori. Questo sistema di garanzia contribuisce a rendere questi mercati più sicuri e attraenti per chiunque sia coinvolto nel traffico illecito online.
Dettaglio della vendita di pasticche di Oxycodone, Oxycotin e Percocet nel market underground Anubis

I mercati di Telegram

Su Telegram, il dark web assume la forma di un vero e proprio Far West, dove il commercio illecito di sostanze stupefacenti. Come più volte documentato dalla trasmissione Chi l’ha visto?esistono numerosi canali dedicati esclusivamente alla vendita di questo potente farmaco.

Inoltre, moltissimi piccoli rivenditori pubblicano regolarmente annunci con immagini dei farmaci in vendita, accompagnati da richieste di contatto per concludere la transazione. Questa modalità di vendita diretta e decentralizzata rende ancora più difficile il controllo di queste attività illecite, sfruttando la sicurezza e l’anonimato garantiti dalla piattaforma.

Clear Web e la direzione verso le underground

Anche nel clear web, cioè quella parte visibile di Internet, esistono canali sui social network che fanno riferimento a mercati underground, come quelli su Telegram, dove è possibile richiedere informazioni per l’acquisto di droghe.

Questi canali fungono da ponte tra la superficie di Internet e i circuiti illeciti underground del dark web, alla portata di 5 click, che permettono di entrare in contatto con rivenditori di sostanze stupefacenti.

Ciò significa che anche attraverso i social network più comuni, come Instagram, Facebook o Twitter, è possibile indirizzare le persone verso canali underground, facilitando così l’accesso al traffico illecito e ai mercati di droga nascosti.

Questo meccanismo rende ancora più insidiosa la possibilità di entrare in contatto con queste reti, sfruttando la diffusa presenza sui social per mascherare l’illegalità.

Conclusioni

Il caso della tragica morte di Andrea Prospero ha riportato sotto i riflettori una realtà che da anni cresce silenziosamente: l’accesso illegale a farmaci potenti e a basso costo come l’Oxycodone è più semplice di quanto si pensi. Il fenomeno non è nuovo: dal tempo di Silk Road, i mercati underground hanno offerto un canale diretto per l’acquisto di sostanze stupefacenti, e ancora oggi, il traffico di droghe online rappresenta uno dei principali business illeciti a livello globale.

La situazione è aggravata dalla diffusione capillare su Telegram e, indirettamente, anche dal clear web, dove canali e profili social fungono da vetrina per indirizzare gli utenti verso i circuiti sotterranei. I mercati underground funzionano ormai come veri e propri e-commerce illegali, con sistemi di feedback, pagamenti in criptovalute e l’uso dell’escrow per garantire transazioni “sicure” agli acquirenti.

È evidente che l’Oxycodone, un farmaco estremamente potente destinato a casi clinici gravi come pazienti oncologici o persone con dolori cronici severi, sia ormai divenuto merce di consumo tra i più giovani, attratti da un’illusoria facilità d’accesso e dall’idea di una droga “sicura” perché di origine farmaceutica.

L’accesso a queste sostanze sta alimentando un mercato sommerso che non solo mette a rischio la salute pubblica, ma contribuisce anche al sostentamento di circuiti criminali sempre più organizzati e difficili da tracciare.

Non possiamo restare in silenzio. È urgente:

• Informare ragazzi e famiglie sui pericoli reali.
• Rafforzare i controlli sui social network e sulle piattaforme di messaggistica.
• Promuovere attività investigative mirate al tracciamento di questi canali.
• Educare all’uso consapevole di Internet, evidenziando i rischi nascosti anche nei luoghi apparentemente innocui.

La morte di Andrea non deve essere solo una notizia di cronaca: deve diventare un punto di svolta per una presa di coscienza collettiva, soprattutto verso i genitori dei più giovani.

Parlarne non basta più: è il momento di agire.

L'articolo La Tragedia Di Andrea Prospero E Il Lato Oscuro Delle Droghe Online: Un Allarme Da Non Ignorare proviene da il blog della sicurezza informatica.

It started when [Mitxela] was faced with about a hundred incorrectly-placed 0603 parts. Given that he already owned two TS101 soldering irons, a 3D printer, and knows how to use FreeCAD (he had just finished designing a custom TS101 holder) it didn’t take long to create cost-effective DIY soldering tweezers.
Two screws allow adjusting the irons to ensure the tips line up perfectly.
The result works great! The TS101 irons are a friction-fit and the hinge (designed using the that-looks-about-right method) worked out just fine on the first try. Considering two TS101 irons are still cheaper than any soldering tweezer he could find, and one can simply undock the TS101s as needed, we call this a solid win.

One feature we really like is being able to precisely adjust the depth of each iron relative to each other, so that the tips can be made to line up perfectly. A small screw and nut at the bottom end of each holder takes care of that. It’s a small but very thoughtful design feature.

Want to give it a try? The FreeCAD design file (and .stl model) is available from [Mitxela]’s project page. Just head to the bottom to find the links.

We’ve seen DIY soldering tweezers using USB soldering irons from eBay but the TS101 has a form factor that seems like a particularly good fit.

hackaday.com/2025/04/12/diy-so…

!Poliverso_forum_di_supporto

Vedo che in Raccoon, nel menù a panino in alto a sinistra, ci sono dei canali che mi sarebbero utili per espandere le mie conoscenze nel Fediverso, "for you" e "discover", il problema è che sono entrambi vuoti, come mai?

Ho visto che c'è un canale "English" che immagino raccolga tutti i post del Fediverso in inglese, come posso crearne uno simile per i post in italiano?

Da PC esiste la possibilità di vedere una timeline contenente solo i post pubblicati nell'istanza a cui sei iscritto, da Raccoon invece non la vedo. Non c'è?

Avrei voluto che questo post comparisse nel forum "Poliverso forum di supporto" ma dubito di esserci riuscito. Come si fa a scrivere nel forum da Raccoon?

#raccoon
#Poliverso
#supporto

Grazie.

dicorinto.it/associazionismo/g…

Earlier this year, I bought one of those K40-style laser machines that was listed at a ridiculously low price, and it arrived broken. Well, let me qualify that: the laser tube and the power supply work perfectly, but that’s about the best you can say about it.

On first power-up, it made a horrible noise, the Y-axis was jammed, the X-axis was so off-square that it was visibly apparent, and it turned out that as I fixed one of these problems after the other, that it was just the tip of the iceberg. The Y-axis was jammed because the belts were so tight that they made the motor bind. Replacing them, because they were simply too short, got the stage moving, but it didn’t engage the endstops. Fixing those revealed that the motor was stepped wrong, and flipping the pins in the connector finally got it homing in the right direction. Full disassembly and reassembly steps required at each stage here.

The X-axis just needed adjustment, but the opto on its endstop had been completely crushed by a previous failed homing, and I had to desolder and resolder in a new one. (Keep your junkbox well stocked!) With the machine working, it became obvious that the driver board was barely usable. It accelerates horribly jerkily, which makes the motors skip and stall. It had to be run artificially slowly because it couldn’t make the corners. So I put in a new motor controller board that handles Gcode and does legitimate acceleration ramps.

Movement mostly fixed, it was time to align the laser. Of course, the optical path is all messed up, they forgot the o-ring that holds the focusing lens in place, and the thing keeps powering down randomly. This turns out to be because of the aiming red laser pointer, which has a positive case, which is shorting through the single wrap of electrical tape that “insulates” it from the machine’s frame. When this shorts, the motor driver board browns out. Lovely!

Once I was finally able to start aligning the beam, I discovered that the frame is warped out of plane. The simple solution is to take it all apart again and shim it until it’s flat, but I just haven’t had the time yet. I’m not beaten, but it’s been eating up hours after hours on the weekends, and that time is scarce.

I love DIY, and I love taking a machine apart in order to understand it. Once. But I’m now on my tenth or twelfth unmounting of the motion stage, and frankly, it’s no fun any more. It would have been quicker, if maybe not cheaper, to have built this machine entirely from scratch. At least for the moment, I’ve bitten off more than I have time to chew.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/04/12/biting…

Most robots depend on controlled environments, because the real world is hard to get around in. The smaller the robot, the bigger this problem because little wheels (or legs) can take only little steps. One way around that is MIT’s latest one-legged hopping robot, which sports a set of four insect-like wings on its top end and can quickly pogo-hop its way across different terrain with ease.
The four wings provide lift, and steer the robot so that its single leg lands precisely.
The wings aren’t for flying in the usual sense. They provide lift, but also help the tiny device steer itself so that its hops land precisely. Earlier incarnations of one-legged hopping robots (like this one) accomplished this with propellers and electric motors, but traditional motors are a non-starter on a device that weighs less than a paperclip.

Right now, this little winged hopper is not completely self-contained (power and control systems are off-board) but running it as a tethered unit allows researchers to test and evaluate different, minimalistic ways for a machine to move around efficiently. And efficiency is the whole goal of going in this direction.

Certainly tiny flying drones already exist and get about in the real world just fine. But if one wants to shed mass, ditch conventional motors, and reduce cost and power consumption, this tiny winged hopping machine is one way to do it. And it can even carry payloads! The payloads are tiny, of course, but being able to haul around ten times one’s own weight and still function reliably is an impressive feat.

You can watch it in action in the video embedded just below the page break. Once you’ve watched that, we’d like to remind you that novel locomotion isn’t just the domain of hopping robots. Tiny robots with explosive joints is just as wild as it sounds.

youtube.com/embed/UlxQz8F59Hk?…

hackaday.com/2025/04/12/tiny-p…

PREZZO: 15,00 Euro

Tastiera LENOVO PREFERRED PRO II ISO-IT cablata usb robusta e di qualità, full-size, non rumorosa, stabile e di peso consistente, altezza regolabile su due livelli.
Nuova, in confezione originale, mai usata.

Consegno a mano in prov. di Catania, spedisco (preferibilmente tramite Subito)

Model no: SK-8827
FRU P/N: 00XH708

Specifiche tecniche:

Layout della tastiera: ISO-IT
Colore: Nero
Peso: 800 g
Ciclo di vita dei tasti della tastiera: Fino a 10 milioni di click
Tipo di switch: Plunger/Rubber dome
Certificazioni: BSMI, CB, CE, CM, EAC, FCC, IC, RCM, UL, VCCI
Tipo di confezione: Brown box
Larghezza: 168,8 mm
Altezza: 34 mm
Lunghezza del cavo: 453 mm
Profondità: 169 mm
Temperatura operativa massima: 40 gradi Celsius
Temperatura operativa minima: 10 gradi Celsius
Umidità relativa massima (%): 90%
Umidità relativa minima (%): 5%
Suspension Cap/Embedded Cap: Suspension Cap
Inclinazione regolabile: Sì
Tipo di connessione: Cablata USB

@Il Mercatino del Fediverso 💵♻️

L’Associazione Artigiani e Piccole Imprese (CGIA) di Mestre ci comunica che non sono gli artigiani e le piccole imprese a evadere il fisco. E che anzi, queste categorie evadono persino meno di lavoratori dipendenti e pensionati.

l’infedeltà fiscale si annida soprattutto nelle società di capitali e solo in piccola parte nelle micro imprese e tra i lavoratori autonomi che, addirittura, annoverano un carico residuo non riscosso in questi ultimi 25 anni pari a poco più della metà del dato riferito alle persone fisiche. Ovvero all’ammontare complessivo dei debiti fiscali in capo ai lavoratori dipendenti e ai pensionati che, ricordiamo, sono tassati alla fonte e, pertanto, non dovrebbero, almeno in linea puramente teorica, evadere alcunché. Cosa che, invece, nella realtà di tutti i giorni non accade.

cgiamestre.com/tasse-a-non-pag…

Sound hardware has been built into PC motherboards for so long now it’s difficult to remember the days when a sound card was an expensive add-on peripheral. By the mid to late 1990s they were affordable and ubiquitous enough to be everywhere, but three decades later some of them are starting to fail. [Necroware] takes us through the repair of a couple of Creative Labs Sound Blaster 16s, which were the card to have back then.

The video below is a relaxed look at typical problems afflicting second-hand cards with uncertain pasts. There’s a broken PCB trace on the first one, which receives a neat repair. The second one has a lot more wrong with it though, and reveals some surprises. We would have found the dead 74 series chips, but we’re not so sure we’d have immediately suspected a resistor network as the culprit.

Watching these cards become sought-after in the 2020s is a little painful for those of us who were there at the time, because it’s certain we won’t be the only ones who cleared out a pile of old ISA cards back in the 2000s. If you find one today and don’t have an ISA slot, worry not, because you can still interface it via your LPC bus.

youtube.com/embed/J4djhBXUQ1I?…

hackaday.com/2025/04/12/repair…

Tuabruzzo informa i propri utenti di una recente violazione di dati personali che ha coinvolto il fornitore di servizi informatici MyCicero S.r.l., incaricato come Responsabile del trattamento dei dati.

La trasparenza nei confronti degli utenti è una priorità assoluta, motivo per cui è stato deciso di comunicare apertamente quanto accaduto. L’azienda sottolinea l’importanza di mantenere la fiducia, aggiornando tempestivamente tutti gli interessati.

l’APP Tua Abruzzo consente di acquistare biglietti e abbonamenti per spostarti con i mezzi pubblici in tutta la regione, consultare gli orari, organizzare il tuo viaggio, inserendo il punto di partenza e arrivo, e consultando tutte le soluzioni fra cui scegliere e avere sempre tutto a portata di mano, senza bisogno di titoli cartacei.

La violazione

Nei giorni scorsi, un attacco alla supply chain di MyCicero ha segnalato una violazione causata da attività malevole condotte da attori esterni non identificati che hanno preso di mira i loro server . Appena ricevuta la notifica dell’incidente, Tuabruzzo ha avviato tutte le verifiche necessarie per comprendere l’entità e l’impatto dell’evento.

Come misura immediata, l’accesso ai sistemi è stato sospeso temporaneamente per consentire interventi di sicurezza urgenti, motivo per cui alcuni utenti potrebbero aver riscontrato rallentamenti o problemi di accesso all’App.

Nonostante l’adozione di stringenti misure di protezione dei dati, la violazione potrebbe aver portato soggetti terzi non autorizzati a venire a conoscenza di informazioni personali degli utenti. Questo rappresenta un rischio importante, sebbene al momento non siano emerse evidenze di utilizzi illeciti dei dati sottratti. L’azienda, tuttavia, invita alla massima attenzione per eventuali comunicazioni sospette o richieste anomale.

Dalle analisi condotte, i dati che potrebbero essere stati compromessi comprendono informazioni di base come nome, cognome e indirizzo e-mail. Al momento non risulta coinvolta nessuna informazione sensibile o bancaria, ma Tuabruzzo continua a monitorare la situazione per intervenire tempestivamente in caso emergessero nuovi elementi.

A seguito dell’accaduto, sono state rafforzate le misure di sicurezza sui sistemi di gestione dati e sono in corso ulteriori controlli per prevenire futuri incidenti. Tuabruzzo resta a disposizione degli utenti per fornire supporto e chiarimenti, ribadendo il proprio impegno costante nella tutela della sicurezza delle informazioni personali.

Attacchi alla Supply Chain

In questo contesto storico, assistiamo sempre più spesso a perdite “collaterali” legate a problematiche nella supply chain. Non si tratta di esfiltrazioni che avvengono direttamente dalle infrastrutture IT delle aziende colpite, ma di violazioni che interessano terze parti e fornitori esterni con cui esse collaborano. Questo scenario mette in evidenza come oggi i fornitori rappresentino un vero e proprio “tallone d’Achille” per la cybersecurity aziendale. Non solo nella produzione, ma anche nella protezione dei dati e dei servizi digitali, è fondamentale prestare la massima attenzione a queste dinamiche.

Gli attacchi alla supply chain possono manifestarsi in molteplici forme: vulnerabilità nei sistemi, infezioni malware, oppure condotte scorrette da parte di dipendenti infedeli. Gli effetti possono essere devastanti, arrivando a causare fermi delle linee produttive e danni a catena su clienti, partner e reputazione aziendale.

Per questo motivo, le attività di controllo e monitoraggio non devono limitarsi alle sole infrastrutture IT interne, ma devono necessariamente estendersi anche ai sistemi tecnologici di partner e fornitori. È fondamentale prevedere nei contratti specifiche clausole che regolamentino gli standard minimi di sicurezza informatica da rispettare.

In un contesto dove ogni anello della catena può rappresentare una vulnerabilità, è indispensabile investire con decisione nella gestione del rischio della supply chain. Il nostro consiglio è di adottare misure concrete che prevedano il diritto di audit, consentendo così al cliente di effettuare controlli periodici sulla sicurezza, per verificare il rispetto dei requisiti stabiliti nei contratti di fornitura. Approfondire questi aspetti non è più un’opzione, ma una necessità strategica per ogni azienda. Questo viene anche richiesto nell’articolo 21 del NIS2che riporta che le entità devono adottare misure adeguate e proporzionate per valutare e gestire i rischi, compresi quelli relativi alla sicurezza delle catene di approvvigionamento, e garantiscono che i contratti con i fornitori includano clausole che permettano la verifica della conformità ai requisiti di sicurezza.

Infine, occorre ricordare che, nel momento in cui avviene una violazione, è quasi sempre il brand del cliente finale ad apparire sui giornali, mentre il fornitore coinvolto resta spesso in secondo piano. Un ulteriore motivo per cui la sicurezza nella catena di approvvigionamento non può essere trascurata.

Questo episodio evidenzia ancora una volta quanto gli attacchi alla supply chain possano avere effetti a cascata su più realtà aziendali. La violazione subita da MyCicero, infatti, non ha colpito solo l’App Tuabruzzo, ma ha avuto ripercussioni anche su ATM Milano, altro cliente del fornitore. Questa situazione dimostra quanto sia delicato l’equilibrio tra le infrastrutture IT dei fornitori di servizi e quelle delle terze parti che li utilizzano. La sicurezza dell’intero ecosistema digitale dipende dalla solidità di ogni singolo anello della catena: una vulnerabilità in un punto può propagarsi rapidamente, coinvolgendo più organizzazioni e aumentando esponenzialmente i rischi per utenti e aziende.

L'articolo Violazione Dati Personali dell’App Tua Abruzzo: Un ennesimo attacco alla Supply Chain proviene da il blog della sicurezza informatica.

ATM (acronimo di Azienda Trasporti Milanesi) ha informato i propri utenti di un incidente di sicurezza che ha coinvolto l’app ufficiale. Nella serata di sabato 5 aprile, la società Mooney Servizi S.p.A., responsabile della gestione tecnica della piattaforma e del trattamento dei dati personali degli utenti, ha subito un attacco informatico.

La notizia è stata immediatamente comunicata ad ATM, che ha iniziato a collaborare con Mooney per fronteggiare la situazione. In risposta all’attacco, la società ha tempestivamente isolato i sistemi compromessi, limitando così ulteriori accessi non autorizzati.

Cosa è successo

L’attacco ha portato alla violazione di alcuni dati personali degli utenti registrati all’app ATM. Le informazioni coinvolte riguardano dati anagrafici, di contatto e di profilo cliente. Fortunatamente, non sono stati compromessi dati particolarmente sensibili come le carte di credito, i bancomat, altri sistemi digitali di pagamento, né le credenziali di accesso all’app o gli indirizzi di domicilio o residenza degli utenti. Questo ha contribuito a contenere l’incidente sotto il profilo delle possibili conseguenze economiche.

Nonostante la natura limitata dei dati coinvolti, l’incidente comporta comunque un rischio legato alla perdita di riservatezza delle informazioni personali. In particolare, esiste la possibilità che i dati sottratti possano essere divulgati o utilizzati senza autorizzazione. Si invitano quindi le persone utenti dell’APP a prestare attenzione a eventuali comunicazioni sospette che potrebbero derivare da un uso improprio di queste informazioni.

A fronte della violazione, ATM si è subito attivata adottando una serie di misure urgenti. L’azienda ha chiesto a Mooney Servizi una reportistica aggiornata e dettagliata sulle misure di sicurezza implementate, per comprendere l’entità dell’attacco e garantire una risposta adeguata. Inoltre, sono stati immediatamente rafforzati i sistemi di sicurezza per proteggere ulteriormente i dati e prevenire nuovi tentativi di intrusione.

ATM conclude rassicurando gli utenti sul proprio impegno continuo per garantire la protezione dei dati personali. L’azienda sta lavorando a stretto contatto con Mooney Servizi e con le autorità competenti per monitorare la situazione e aggiornare tempestivamente gli utenti su eventuali sviluppi. La trasparenza e la tutela della privacy restano una priorità assoluta, in un contesto in cui le minacce informatiche si fanno purtroppo sempre più sofisticate.

L’ATM è una società per azioni di proprietà del comune di Milano, che gestisce il servizio di trasporto pubblico su un territorio che interessa oltre 3,3 milioni di abitanti e che comprende la città di Milano e 95 comuni della Lombardia.

Gestisce, inoltre, il controllo della sosta su strada, i parcheggi di interscambio, il servizio di bike sharing “BikeMi”, il Sistema Integrato del Traffico e del Territorio (“SCTT”) e le zone a traffico limitato “Area B” e “Area C” del capoluogo lombardo.

Attacchi alla Supply Chain

In questo contesto storico, assistiamo sempre più spesso a perdite “collaterali” legate a problematiche nella supply chain. Non si tratta di esfiltrazioni che avvengono direttamente dalle infrastrutture IT delle aziende colpite, ma di violazioni che interessano terze parti e fornitori esterni con cui esse collaborano. Questo scenario mette in evidenza come oggi i fornitori rappresentino un vero e proprio “tallone d’Achille” per la cybersecurity aziendale. Non solo nella produzione, ma anche nella protezione dei dati e dei servizi digitali, è fondamentale prestare la massima attenzione a queste dinamiche.

Gli attacchi alla supply chain possono manifestarsi in molteplici forme: vulnerabilità nei sistemi, infezioni malware, oppure condotte scorrette da parte di dipendenti infedeli. Gli effetti possono essere devastanti, arrivando a causare fermi delle linee produttive e danni a catena su clienti, partner e reputazione aziendale.

Per questo motivo, le attività di controllo e monitoraggio non devono limitarsi alle sole infrastrutture IT interne, ma devono necessariamente estendersi anche ai sistemi tecnologici di partner e fornitori. È fondamentale prevedere nei contratti specifiche clausole che regolamentino gli standard minimi di sicurezza informatica da rispettare.

In un contesto dove ogni anello della catena può rappresentare una vulnerabilità, è indispensabile investire con decisione nella gestione del rischio della supply chain. Il nostro consiglio è di adottare misure concrete che prevedano il diritto di audit, consentendo così al cliente di effettuare controlli periodici sulla sicurezza, per verificare il rispetto dei requisiti stabiliti nei contratti di fornitura. Approfondire questi aspetti non è più un’opzione, ma una necessità strategica per ogni azienda. Questo viene anche richiesto nell’articolo 21 del NIS2che riporta che le entità devono adottare misure adeguate e proporzionate per valutare e gestire i rischi, compresi quelli relativi alla sicurezza delle catene di approvvigionamento, e garantiscono che i contratti con i fornitori includano clausole che permettano la verifica della conformità ai requisiti di sicurezza.

Infine, occorre ricordare che, nel momento in cui avviene una violazione, è quasi sempre il brand del cliente finale ad apparire sui giornali, mentre il fornitore coinvolto resta spesso in secondo piano. Un ulteriore motivo per cui la sicurezza nella catena di approvvigionamento non può essere trascurata.

Questo episodio evidenzia ancora una volta quanto gli attacchi alla supply chain possano avere effetti a cascata su più realtà aziendali. La violazione subita da MyCicero, infatti, non ha colpito solo l’App Tuabruzzo, ma ha avuto ripercussioni anche su ATM Milano, altro cliente del fornitore. Questa situazione dimostra quanto sia delicato l’equilibrio tra le infrastrutture IT dei fornitori di servizi e quelle delle terze parti che li utilizzano. La sicurezza dell’intero ecosistema digitale dipende dalla solidità di ogni singolo anello della catena: una vulnerabilità in un punto può propagarsi rapidamente, coinvolgendo più organizzazioni e aumentando esponenzialmente i rischi per utenti e aziende.

L'articolo Un attacco alla Supply Chain colpisce L’Azienda Trasporti Milanesi ATM che lo comunica agli utenti proviene da il blog della sicurezza informatica.

Era una giornata qualsiasi quando un utente ignaro, probabilmente alle prese con una call imminente, ha visitato un sito che sembrava legittimamente legato a Zoom, la nota piattaforma per videoconferenze. Grafica perfetta, dominio plausibile, contenuti apparentemente autentici. Ma dietro quell’interfaccia rassicurante si celava una trappola perfettamente architettata. L’utente scarica quello che crede essere l’installer ufficiale dell’applicazione. Lo esegue. E senza rendersene conto, spalanca le porte a un attacco multi-fase che culminerà, nove giorni dopo, nella devastazione completa del suo ambiente aziendale.

È quanto accaduto recentemente in un attacco analizzato nel dettaglio da The DFIR Report, che ha portato all’infezione e alla crittografia completa di una rete aziendale da parte del ransomware BlackSuit.

Quello che seguirà è un viaggio all’interno di una kill chain articolata, dove ogni componente malevolo ha uno scopo ben definito e ogni passaggio è pensato per restare sotto il radar il più a lungo possibile. Un attacco in cui la pazienza è stata l’arma principale dell’attaccante, e dove la vera forza non stava nella velocità, ma nella silenziosa e metodica occupazione del perimetro digitale della vittima.

Fase uno: Initial Access e installazione del loader

Il primo passo dell’attacco è quello che, da sempre, si conferma tra i più efficaci e pericolosi: l’ingegneria sociale. L’attore minaccia ha creato un sito clone di Zoom, perfettamente curato, al punto da ingannare sia utenti comuni che utenti aziendali. Il file scaricato non è altro che un installer trojanizzato, apparentemente funzionante, ma che contiene al suo interno il primo componente malevolo della catena: d3f@ckloader.

Questo loader, come da definizione, non svolge direttamente attività offensive visibili, ma agisce come ponte verso i successivi payload. Una volta eseguito, instaura immediatamente una comunicazione cifrata con un server di comando e controllo (C2) e scarica componenti aggiuntivi. Tra questi, uno in particolare gioca un ruolo chiave nelle fasi iniziali dell’attacco: SectopRAT.

Fase due: accesso remoto e raccolta delle informazioni

SectopRAT (Remote Access Trojan) è uno strumento già noto nel panorama delle minacce, apprezzato dagli attori malevoli per la sua leggerezza e per l’ampia gamma di funzionalità che offre. Non solo permette l’accesso da remoto alla macchina infetta, ma include capacità di keylogging, cattura dello schermo, gestione dei file e monitoraggio delle attività dell’utente.

L’attaccante, sfruttando SectopRAT, inizia a mappare la rete, raccogliere informazioni sugli utenti, sulla configurazione delle macchine e sulle credenziali. Questa fase è cruciale: non si tratta ancora di un attacco visibile o distruttivo, ma di una fase silenziosa, dove ogni azione è mirata a costruire una conoscenza dettagliata dell’ambiente.

Dall’analisi del traffico e dei log, si osserva l’uso di numerose tecniche MITRE ATT&CK, tra cui:

• T1018 – Remote System Discovery, per identificare le macchine collegate alla rete.
• T1087.001 – Account Discovery: Local Account, per ottenere una panoramica degli utenti locali.
• T1047 – Windows Management Instrumentation, che consente interrogazioni e operazioni remote.
• T1003.001 – Credential Dumping: LSASS Memory, per l’estrazione di credenziali direttamente dalla memoria RAM del processo LSASS.

La tecnica del dump LSASS rappresenta un punto di svolta: consente all’attaccante di ottenere accesso privilegiato (local admin, domain admin) e preparare il terreno per il movimento laterale.

Fase tre: Post-Exploitation con strumenti avanzati

Dopo nove giorni di attività discreta, il gruppo cambia passo. Con le credenziali privilegiate in mano, l’attaccante carica due tra i più temuti strumenti di post-exploitation oggi in circolazione: Brute Ratel e Cobalt Strike.

• Brute Ratel è un framework offensivo moderno, progettato per evadere i sistemi EDR e rendere il rilevamento molto più difficile. Permette l’iniezione di payload in processi legittimi, il beaconing nascosto e tecniche sofisticate di mimetizzazione.
• Cobalt Strike, invece, è ormai un classico. I suoi beacon, distribuiti in varie macchine della rete, permettono all’attaccante di agire in parallelo, eseguire comandi, caricare moduli, elevare privilegi e avviare operazioni di lateral movement.

Viene inoltre attivato QDoor, un malware che funge da proxy per connessioni RDP, facilitando l’accesso a sistemi remoti attraverso tunnel cifrati. In questa fase l’attaccante dispone ormai di controllo totale sulla rete: può accedere, spostarsi, impersonare utenti e amministratori, raccogliere informazioni e prepararsi all’azione finale.

Fase quattro: esfiltrazione e fase d’impatto

Con i dati sotto controllo, si passa all’esfiltrazione, realizzata utilizzando il servizio cloud Bublup. Un sistema apparentemente innocuo, che consente la creazione di raccolte di file e note, ma che viene qui sfruttato per caricare informazioni sottratte: credenziali, configurazioni, dati sensibili.

Segue quindi il colpo finale: l’attivazione di BlackSuit, un ransomware moderno, veloce e altamente distruttivo. La diffusione del ransomware avviene tramite PsExec, strumento legittimo spesso abusato dai criminali informatici per propagare payload su tutte le macchine accessibili nella rete.

Il ransomware crittografa ogni file e lascia note di riscatto. L’azienda è ora completamente paralizzata. Tutto ciò è avvenuto nell’arco di 194 ore, ovvero circa otto giorni.

La mappa MITRE dei malware coinvolti

L’immagine allegata è una rappresentazione grafica e concettuale dell’attacco, che mostra le interrelazioni tra i malware coinvolti e le tecniche MITRE ATT&CK utilizzate. A sinistra e a destra, sono visualizzati i malware: da QDoor, BlackSuit e SectopRAT fino a Brute Ratel, Cobalt Strike e d3f@ckloader.

Al centro, in giallo, un fitto reticolo di tecniche evidenzia la complessità e l’intenzionalità dell’attacco. Tecniche come:

• T1105 – Ingress Tool Transfer, per il caricamento di payload.
• T1059.001 – PowerShell, per esecuzioni silenziose.
• T1560.001 – Archive Collected Data: Archive via Utility, usata per impacchettare i dati prima dell’esfiltrazione.
• T1021.002 – Remote Services: SMB/Windows Admin Shares, chiave nel movimento laterale.
• T1486 – Data Encrypted for Impact, la tecnica conclusiva del ransomware.

Questa mappa non è solo una fotografia, ma una radiografia strategica: dimostra come gli attori malevoli sfruttino in modo modulare strumenti diversi, ognuno specializzato in un compito preciso. La sovrapposizione delle tecniche mostra che questi strumenti condividono obiettivi comuni, e che l’attacco non è un evento isolato, ma il risultato di una pianificazione attenta e raffinata.

Considerazioni finali

Ciò che colpisce di più in questo attacco non è la sua violenza finale, bensì la pazienza e l’intelligenza operativa con cui è stato condotto. L’inizio silenzioso, il tempo dedicato alla scoperta, il furto metodico delle credenziali, la distribuzione strategica dei beacon e infine la detonazione del ransomware: ogni fase è stata eseguita con precisione chirurgica.

In questo scenario, le contromisure devono evolversi. Nessuna soluzione può da sola impedire un attacco così strutturato: serve un approccio stratificato, che includa EDR/XDR efficaci, segmentazione di rete, formazione continua del personale, una gestione attenta delle credenziali e soprattutto una visione strategica della sicurezza.

Perché in guerra, come in cybersecurity, chi si prepara meglio, vince.

L'articolo Dall’inganno di Zoom al disastro ransomware: viaggio nel cuore dell’attacco BlackSuit proviene da il blog della sicurezza informatica.