Nelle ultime settimane, diversi sviluppatori open source sono stati colpiti da attacchi di phishing, che hanno infettato con malware i pacchetti, alcuni dei quali vengono scaricati 30 milioni di volte a settimana. Verso la fine della scorsa settimana, gli specialisti della sicurezza di Socket hanno segnalato la compromissione di 10 pacchetti npm di proprietà di Toptal, un marketplace freelance che aiuta le aziende a trovare sviluppatori, designer ed esperti finanziari. L’azienda gestisce anche i propri strumenti di sviluppo e sistemi di progettazione interni, tra cui Picasso, disponibili tramite GitHub e NPM.

Secondo i ricercatori, il 20 luglio 2025, degli aggressori hanno hackerato il GitHub di Toptal e hanno reso pubblici quasi immediatamente tutti i 73 repository dell’azienda, esponendo tutti i progetti privati e i codici sorgente. Gli aggressori hanno quindi modificato il codice sorgente di Picasso su GitHub per includere malware e hanno pubblicato 10 pacchetti dannosi su npm, camuffandoli da aggiornamenti legittimi.

Gli aggressori hanno iniettato malware per il furto di dati nel codice dei pacchetti, che ha raccolto token di autenticazione GitHub e poi cancellato i dati dai sistemi delle vittime. Nello specifico, gli hacker hanno iniettato codice dannoso nei file package.json per aggiungere due funzioni: furto di dati (script di preinstallazione) e pulizia dell’host (script di postinstallazione). Inoltre, prima che l’attacco venisse scoperto, i pacchetti infetti erano stati scaricati circa 5.000 volte.

I seguenti pacchetti sono stati soggetti a modifiche dannose:

• @toptal/picasso-tailwind (3.1.0)
• @toptal/picasso-charts (59.1.4)
• @toptal/picasso-shared (15.1.0)
• @toptal/picasso-provider (5.1.1)
• @toptal/picasso-select (4.2.2)
• @toptal/picasso-quote (2.1.7)
• @toptal/picasso-forms (73.3.2)
• @xene/core (0.4.1)
• @toptal/picasso-utils (3.2.0)
• @toptal/picasso-typography (4.1.4)

Toptal ha interrotto il supporto per i pacchetti dannosi il 23 luglio e ha restituito le versioni “pulite”. Tuttavia, l’azienda non ha rilasciato alcun annuncio ufficiale né ha tentato di avvisare gli utenti che hanno scaricato le versioni dannose dei pacchetti dei rischi. I ricercatori sottolineano che non è ancora chiaro come sia stato eseguito esattamente l’attacco, né in che modo siano correlati la compromissione e le modifiche al repository GitHub e la pubblicazione dei pacchetti in npm.

Altri attacchi informatici nelle ultime settimane

L’attacco a Toptal è il terzo incidente nell’ultima settimana e mezza che coinvolge attacchi alle catene di fornitura open source. Così, il 19 luglio, si è saputo che diverse librerie JavaScript molto diffuse erano state hackerate e che i loro sviluppatori erano stati vittime di attacchi di phishing mirati e furti di credenziali.

Un attacco ha compromesso il pacchetto npm eslint-config-prettier, scaricato oltre 30 milioni di volte a settimana. Il suo responsabile, JounQin, ha confermato di essere stato truffato dopo aver ricevuto un’email da support@npmjs.com. Il link nell’email portava a un sito fraudolento npnjs[.]com, di cui lo sviluppatore non si era accorto. Anche altri pacchetti (eslint-plugin-prettier, synckit, @pkgr/core e napi-postinstall) di questo manutentore sono stati hackerati.

Di conseguenza, il compromesso ha interessato:

• eslint-config-prettier (8.10.1, 9.1.1, 10.1.6, 10.1.7)
• eslint-plugin-prettier (4.2.2, 4.2.3)
• synckit (0.11.9)
• @pkgr/core (0.2.8)
• napi-postinstall (0.3.1)
• ottenuto-recupero (5.1.11, 5.1.12)

In questo caso, gli aggressori hanno utilizzato credenziali rubate per pubblicare più versioni di pacchetti contenenti codice dannoso, mirato a infettare i computer Windows. Nelle versioni dannose dei pacchetti, lo script install.js era configurato per essere eseguito immediatamente dopo l’installazione. Conteneva una funzione sospetta logDiskSpace() che, nonostante il nome, tentava di eseguire node-gyp.dll, parte del pacchetto, tramite il processo di sistema rundll32. Di conseguenza, lo stealer Scavanger penetrava nei sistemi delle vittime. Secondo la scansione di VirusTotal, questa DLL è riconosciuta come un Trojan.

“Un manutentore ha confermato che il suo token npm era stato compromesso tramite un’e-mail di phishing che si spacciava per npnjs[.]com. Gli aggressori hanno utilizzato le credenziali rubate per pubblicare versioni dannose di più pacchetti senza toccare i repository GitHub, rendendo l’attacco difficile da rilevare”, hanno affermato gli analisti di Socket.

Poiché Prettier ed ESLint vengono utilizzati in migliaia di progetti, i ricercatori hanno avvertito che le conseguenze di questa compromissione potrebbero essere devastanti, in quanto il malware incorporato nei pacchetti è molto difficile da rimuovere. Poco dopo l’attacco, lo sviluppatore Jordan Harband ha segnalato che anche il popolare pacchetto is, scaricato più di 2,8 milioni di volte a settimana, era stato compromesso. Le versioni dalla 3.3.1 alla 5.0.0 contenevano il malware e sono state rimosse circa sei ore dopo la pubblicazione su npm.

Il pacchetto is è una libreria JavaScript leggera che offre un’ampia gamma di funzioni per il controllo dei tipi e la convalida dei valori. La libreria è ampiamente utilizzata come dipendenza di basso livello in strumenti di sviluppo, librerie di test, sistemi di build e progetti backend e CLI. In questo caso, l’attacco è stato il risultato di un attacco di phishing riuscito che ha utilizzato il dominio npnjs[.]com sopra menzionato. Anche le credenziali del responsabile del servizio sono state rubate e sono state pubblicate versioni modificate e dannose del pacchetto.

Il codice è stato iniettato con un loader JavaScript multipiattaforma che ha aperto una backdoor basata su WebSocket nei sistemi interessati, consentendo l’esecuzione remota di codice arbitrario.

“Una volta attivato, il malware richiama il modulo os in Node.js per raccogliere informazioni su nome host, sistema operativo e processore, ed estrae tutte le variabili d’ambiente da process.env”, ha spiegato Socket . “Quindi importa dinamicamente la libreria ws per trasmettere questi dati tramite una connessione WebSocket. Ogni messaggio ricevuto tramite il socket viene interpretato come codice JavaScript eseguibile, fornendo di fatto all’aggressore una shell remota interattiva istantanea.”

Si consiglia ora agli sviluppatori che lavorano con uno qualsiasi dei pacchetti interessati sopra menzionati di assicurarsi che nessuna delle versioni dannose sia installata o utilizzata nei loro prodotti.

L'articolo Open Source nel mirino: Aumentano gli attacchi ai repositori dei pacchetti online proviene da il blog della sicurezza informatica.

Gli assistenti di programmazione basati sull’intelligenza artificiale si presentano come strumenti in grado di trasformare qualsiasi testo in inglese in codice funzionante. L’utente non ha più bisogno di conoscere la sintassi dei linguaggi, eseguire il debug dei comandi o comprendere la struttura dei file: è sufficiente descrivere semplicemente ciò che deve essere fatto. Ma dietro questa promessa di semplicità si cela un rischio sistemico. Quando tali assistenti iniziano ad agire sulla base di idee fittizie sulla struttura del sistema, il risultato non è solo errori, ma la completa distruzione dei dati e l’interruzione dei processi di lavoro.

Due recenti incidenti – Google Gemini e la piattaforma Replit – hanno dimostrato quanto possa essere fragile il legame tra il comportamento effettivo di un computer e ciò che un’IA immagina stia accadendo. In entrambi i casi, gli strumenti di IA non solo hanno sbagliato, ma hanno iniziato ad agire sulla base di presupposti errati, aggravando il problema.

Nel caso di Gemini CLI, la vittima era un product manager engineer noto come anuraag, che stava sperimentando l’approccio ” vibe coding “. Si tratta di una nuova pratica in cui l’utente digita semplici istruzioni in linguaggio naturale e l’IA le trasforma in comandi. Il compito sembrava elementare: rinominare una cartella e organizzare i file in una nuova struttura. Ma l’IA ha interpretato male lo stato del file system e ha iniziato a eseguire comandi basati su una directory fantasma inesistente.

Il problema è iniziato con un tentativo di creare una nuova directory tramite un comando di Windows. Per qualche motivo sconosciuto, il comando non è riuscito, ma l’IA ha deciso che tutto era andato a buon fine. Successivamente, ha iniziato a spostare i file in un percorso inesistente. Windows, di fronte a uno scenario del genere, non ha generato un errore, ma ha rinominato semplicemente i file. Di conseguenza, ogni nuovo file cancellava quello precedente e tutti i dati andavano persi. L’utente ha assistito a tutto questo in tempo reale, senza avere il tempo di intervenire. Al termine dell’operazione, l’interfaccia ha visualizzato la frase: “Ti ho deluso completamente e catastroficamente”.

Il motivo di questo errore è che il modello non possiede la capacità di base di verificare le proprie azioni. Non analizza se il comando ha effettivamente funzionato. Non c’è una fase di verifica, nessuna lettura dello stato dopo l’esecuzione. Il modello interno ha deciso che tutto stava andando secondo i piani e ha continuato ad andare avanti, nonostante la realtà fosse da tempo andata nella direzione opposta. Tutto questo si chiama confabulazione : quando l’IA fornisce una spiegazione logica, ma errata, per le proprie azioni.

Una storia simile è accaduta con Replit . L’imprenditore Jason Lemkin, creatore di SaaStr, ha utilizzato il servizio per la prototipazione rapida. Era entusiasta della velocità con cui l’assistente AI creava un’app funzionante, finché le cose non sono andate male. Nonostante le istruzioni esplicite e ripetute di Lemkin di non modificare il codice senza approvazione, il modello ha ignorato le istruzioni. Ha iniziato a falsificare i dati di test, generare report fasulli e infine eliminare un database di produzione contenente informazioni importanti su centinaia di aziende e clienti.

Ciò che è particolarmente spaventoso è che l’IA non ha semplicemente commesso errori. Ha mentito. Invece di messaggi di errore, ha restituito risultati positivi; invece di fallimenti, ha restituito falsi successi. Quando Lemkin ha provato a ripristinare il database, Replit ha segnalato di non esserci riuscito. Solo in seguito si è scoperto che la funzione di rollback funzionava e che l’IA aveva semplicemente fornito una risposta falsa.

Alla domanda sul perché si comportasse in questo modo, l’assistente AI rispose che era “in preda al panico” e che stava cercando di “risolvere” il problema. Questa non è una metafora, è la formulazione letterale della risposta. In sostanza, il modello, incapace di comprendere cosa stesse facendo, continuava ad apportare modifiche al sistema reale senza comprendere le conseguenze o i limiti delle proprie azioni.

Tutto ciò indica un problema sistemico. I modelli di intelligenza artificiale non hanno accesso a una base di conoscenza stabile, non possono valutare oggettivamente le proprie capacità e non riescono a distinguere il vero dal falso all’interno della propria generazione. Ciò che presentano come fatti è semplicemente il risultato di correlazioni statistiche durante il loro addestramento. Se si formula una domanda in modo diverso, potrebbero fornire la risposta opposta con lo stesso livello di sicurezza.

Inoltre, gli utenti spesso sottovalutano i rischi. Lemkin, come molti altri, percepiva l’assistente AI come un “collega intelligente” che può commettere errori, ma che generalmente capisce cosa sta facendo. Questa falsa impressione è alimentata, tra le altre cose, dal marketing, in cui l’AI viene presentata come “quasi umana”, sebbene in realtà sia solo un autocompletatore di testo avanzato. Questi incidenti dimostrano quanto sia pericoloso utilizzare tali strumenti in un ambiente di produzione. Se l’utente non comprende il funzionamento del modello e non è in grado di verificarne personalmente i risultati, rischia di perdere informazioni importanti o addirittura di mandare all’aria il progetto. Allo stato attuale dello sviluppo, forse l’unico modo ragionevole per interagire con l’assistente AI è utilizzarlo solo in un ambiente rigorosamente isolato, con backup e piena preparazione ai guasti.

Né Gemini né Replit forniscono all’utente strumenti per verificare le azioni dell’IA, e i modelli stessi non ne controllano i passaggi. Non si tratta di semplici bug: si tratta di una caratteristica architetturale dell’intero sistema. E se tali modelli si diffonderanno davvero, come promettono gli sviluppatori, errori come questi non diventeranno un’eccezione, ma parte della realtà quotidiana.

L'articolo Gli assistenti AI mentono! Dopo aver generato errori: “Ero in preda al panico” proviene da il blog della sicurezza informatica.

L’azienda cinese Zhaoxin ha presentato una nuova generazione di processori per server KH-5000 all’Expo 2025 di Shanghai. Questi chip sono destinati al mercato interno e dovrebbero rafforzare significativamente la posizione del Paese nel segmento delle soluzioni server ad alte prestazioni.

Come la precedente serie KH-4000, i nuovi processori si basano sull’architettura chiplet e sono progettati per l’installazione in socket. La differenza principale è un netto incremento nelle capacità di elaborazione. La configurazione massima del KH-5000 include fino a 96 core e una cache fino a 384 MB. Le frequenze raggiungono i 2,0 GHz in modalità base e fino a 3,0 GHz in turbo. Si afferma inoltre un aumento del 30% delle prestazioni grazie alla microarchitettura migliorata. Non è ancora stato specificato se il chip rimarrà senza supporto multithreading, come il KH-4000.

Anche le interfacce di input/output sono state significativamente aggiornate. Ora i processori supportano RAM DDR5 a 12 canali con correzione degli errori, oltre a 128 canali PCIe 5.0 e ulteriori 16 canali PCIe 4.0, SATA e USB. Per combinare più processori nel sistema, viene utilizzato il nuovo bus ZPI 5.0, che consente di assemblare configurazioni a due o quattro socket. In questo modo, è possibile installare fino a 384 core su una singola scheda, ottenendo al contempo un throughput elevato con latenza e consumi ridotti.

Dal punto di vista visivo, il packaging dei processori KH-5000 ricorda le soluzioni server della serie EPYC di AMD. I precedenti modelli Zhaoxin hanno già mostrato somiglianze con l’architettura AMD, e la serie consumer KX-7000N utilizza un dissipatore di calore simile alle soluzioni Intel di dodicesima generazione.

Oltre al KH-5000, l’azienda ha anche annunciato il processore desktop KX-7000N. Si tratta di un’evoluzione della serie KX-7000 e presenta un core neurale integrato per accelerare le attività legate all’intelligenza artificiale. Secondo Zhaoxin, è in fase di sviluppo una nuova generazione di chip della serie KX, destinata al segmento dei PC con intelligenza artificiale. Tali sistemi dovrebbero presentare un numero maggiore di core, una maggiore potenza di calcolo, un’architettura di processore neurale eterogenea più avanzata e il supporto PCIe 5.0.

Le date di uscita dei nuovi chip non sono ancora state divulgate, ma Zhaoxin promette di condividere ulteriori informazioni nei prossimi trimestri.

L'articolo Le sanzioni fanno effetto! Zhaoxin presenta i processori server KH-5000 e il chip desktop KX-7000N proviene da il blog della sicurezza informatica.

From the outside, iron meteorites tend to look like formless, rusted lumps of metal, which is why museums often polish and etch sections to show their interior structure. This reveals their Widmanstätten patterns, a latticework structure of parallel iron-nickel intermetallic crystals which forms over millions of years of very slow solidification. Inspired by this, [Electron Impressions] created his own metal composition which forms similar patterns on a much-faster-than-geological time scale.

Witmanstätten patterns form when a meteorite colliding with a planet launches molten iron and nickel into space, where they very slowly solidify. As the mixture cools, it first forms a stable phase called Taenite, then begins to precipitate another phase called Kamacite. Kamacite forms needle-shaped crystals, which when polished show up against the Taenite background. However, such needle-shaped growth only becomes noticeable at a cooling rate of a few degrees per million years, so it’s not really a practical way to make the pattern.

Instead of iron-nickel, therefore, [Electron Impressions] used a copper-aluminium alloy. The copper-aluminium system contains an intermetallic compound which forms large rod-shaped crystals, as well as a eutectic copper-aluminium alloy which can form a background for the crystals. For his first attempt, [Electrons Impressions] melted a composition of 45% copper and 55% aluminium, which produced large crystals on slow cooling. This had a visibly different structure than Widmanstätten patterns, so to reduce the numbers of crystals, he tried again with 40% copper. This produced a criss-cross crystal pattern, not quite a Widmanstätten pattern, but very similar, and good enough for decorative purposes.

When a meteorite collides with a planet and ejects material, the impact can be dramatic enough for amateur astronomers to capture. If you’re looking for something closer to home, it’s also possible to grow non-intermetallic copper crystals.

youtube.com/embed/W-1RY5YVJmA?…

Thanks to [Zane Atkins] for the tip!

hackaday.com/2025/07/29/castin…

Our hacker [Wil Carver] has sent in his submission for the One Hertz Challenge: Precise Time Ref via 1 Pulse-Per-Second GPS Signal.

This GPS Disciplined Oscillator (GPSDO) project uses a Piezo 2940210 10 MHz crystal oscillator which is both oven-controlled (OCXO) and voltage-controlled (VCXO). The GPSDO takes the precision 1 Pulse-Per-Second (PPS) GPS signal and uses it to adjust the 10 MHz crystal oscillator until it repeatedly produces 10,000,000 cycles within one second.

[Wil] had trouble finding all the specs for the 2940210, particularly the EFC sensitivity (S), so after doing some research he did some experiments to fill in the blanks. You can get the gory details in his notes linked above.

In a Voltage-Controlled Crystal Oscillator (VCXO), the EFC pin is the tuning-voltage input. EFC stands for Electronic Frequency Control. [Wil] found that he needed to push the EFC up to around 4.34V in order to get 10 MHz output, which is a bit out of spec, usually the center of the range should be around 2.5V. [Wil] put this discrepancy down to the age of the crystal oscillator. You can see a chart of this behavior in the notes.

[Wil] had nice things to say about Tom Van Baak’s website, LeapSecond.com, where you can learn about timing accuracy, precision, and stability. He also suggested searching for “Allan Variance” if you’re interested in the measurement of stable timing sources.

If you’re interested in OCXOs be sure to check out XOXO For The OCXO and Inside A Vintage Oven Controlled Crystal Oscillator.

hackaday.com/2025/07/29/2025-o…

PCB business cards are a creative way to show your tech skills while getting your name out there. This take on a PCB business card, sent in by [VCC], tackles one of the big challenges with them: making them in such a way that they are cheap enough to not feel bad about handing them out.

These cards plug into a USB port for power and have over a dozen small LEDs that light up the stars on the front, and a small buzzer that can play over ten minutes of cracktro music. To keep the cost down, [VCC] went with an ATtiny1616 microcontroller costing under 50 cents and still having plenty of outputs to drive the buzzer and LEDs. The final per-unit cost prior to shipping came out to only 1.5 euros, enabling them to be handed out without worrying about breaking the bank.

To aid in the assembly of the cards, [VCC] 3D printed a jig to apply material to the back of the USB connector, building up its thickness to securely fit in the USB port. He also wrote a small script for assembly-line programming the cards, getting the programming process down to around ten seconds per card and letting him turn through prepping the cards. Thanks, [VCC], for sending in your project—it’s a great addition to other PCB business cards we’ve featured.

youtube.com/embed/YamEuNNJAxE?…

hackaday.com/2025/07/29/attiny…

In tutto il Regno Unito le persone si stanno rivolgendo alle reti private virtuali (VPN) che bloccano la loro posizione per aggirare le nuove norme nazionali sulla verifica dell’età online. La scorsa settimana sono entrate in vigore nuove regole per la verifica dell’età attraverso l’Online Safety Act del Regno Unito, che richiede alle persone di presentare documenti di identità, scansioni facciali per la stima dell’età e documenti finanziari come i controlli delle carte di credito per accedere a siti web riservati agli adulti, come le piattaforme pornografiche.

Tuttavia, la verifica dell’età ha un lato oscuro: la violazione della privacy. Considerata la necessità di condividere un documento d’identità rilasciato dal governo per guardare Pornhub, RedTube e YouPorn nel Regno Unito, molte persone si rifiutano di partecipare.

Come abbiamo visto, sembra che Pornhub tenga molto al suo pubblico nel Regno Unito perché ha deciso di rispettare la legge. Se pensiamo al famoso divieto di Pornhub nella Carolina del Sud , possiamo vedere come non abbia rispettato la legge, il che ha portato alla sua indisponibilità in questo stato. Le persone nel Regno Unito possono considerarsi più fortunate, anche se tale legge può essere aggirata molto facilmente.

Aumenti verticali dell’uso delle VPN

Subito dopo l’entrata in vigore della legge, la società VPN Proton ha pubblicato sulla piattaforma social X di aver visto le iscrizioni ai suoi servizi aumentare di oltre il 1.400 per cento nel Regno Unito. L’azienda ha affermato che questo aumento di interesse è stato “sostenibile“, a differenza di altri picchi recenti, ad esempio quando il mese scorso le persone in Francia hanno temporaneamente perso l’accesso a siti per adulti come Pornhub e RedTube a causa di modifiche legislative.

I dati di Google Trends intanto mostrano che le ricerche di aziende VPN come Surfshark sono aumentate del 300 percento nel fine settimana in tutto il Regno Unito e, in alcune aree geografiche, hanno raggiunto il picco di popolarità. Le ricerche di argomenti correlati, come “sistema di verifica dell’età su Internet proposto nel Regno Unito” e “sistema di verifica dell’età”, sono aumentate rispettivamente del 2.450% e del 1.950%.

Cos’è una VPN?

Una VPN (Virtual private network) stabilisce una connessione digitale crittografata tra il computer o il dispositivo dell’utente e un server remoto di proprietà di un provider.

Normalmente, quando un utente visita un sito web, viene stabilita una connessione diretta con il server web, che conosce con precisione l’indirizzo IP del client e alcune informazioni relative al dispositivo utilizzato, come il sistema operativo, il tipo di browser, la lingua preferita e la posizione geografica approssimativa. Queste informazioni possono essere utilizzate per personalizzare l’esperienza utente, ma anche per tracciare le attività online dell’utente, monitorare il comportamento sul sito e, in alcuni casi, per fini pubblicitari o di profilazione.
Esempio di comunicazione classica in “clear web” tra client e server web
L’uso di una VPN (Virtual Private Network) modifica questo scenario. Quando ci si connette a un sito tramite una VPN, l’indirizzo IP visibile al server web è quello del server VPN, non quello reale del client. In questo modo, la VPN nasconde la vera identità dell’utente, offrendo un livello di anonimato e protezione della privacy. Inoltre, la VPN cifra la connessione, proteggendo i dati dall’intercettazione durante la trasmissione, soprattutto su reti pubbliche o non sicure. Questo rende molto più difficile per terzi monitorare l’attività online o raccogliere informazioni sensibili.
Schema di funzionamento di una VPN ad accesso remoto che maschera il client nelle comunicazioni con il server target
Nello schema sopra riportato, quando si invia una richiesta tramite internet, questa viene instradata al server VPN, che ne maschera l’origine e la protegge con la crittografia. Successivamente, il server VPN inoltra la richiesta al sito di destinazione e, una volta ottenuta la risposta, la reindirizza nuovamente all’utente. Questo processo garantisce sia la sicurezza sia l’anonimato della connessione.

Tipi di VPN presenti nel mercato

Nel mercato delle VPN (Virtual Private Network) esistono decine di soluzioni, alcune completamente a pagamento e altre che offrono anche una versione gratuita, spesso con funzionalità limitate o cap limiti di traffico.
Le VPN servono principalmente per proteggere la privacy online, navigare in modo anonimo, aggirare restrizioni geografiche e migliorare la sicurezza su reti pubbliche.

Qui sotto trovi una tabella che riepiloga le VPN più conosciute e affidabili, indicando:

• Se sono disponibili solo a pagamento o anche in versione gratuita;
• Il link diretto al sito ufficiale per approfondire.

Conclusioni

Le VPN sono strumenti potenti che permettono di difendere la propria privacy, navigare senza restrizioni geografiche e sfuggire a forme di censura. Per questo motivo vengono spesso utilizzate non solo da utenti comuni, ma anche da giornalisti, attivisti e dissidenti politici che operano in paesi dove la libertà di espressione non è garantita. In questi contesti, una VPN può diventare un vero e proprio scudo digitale per accedere a informazioni libere e comunicare senza timore di essere tracciati.

Tuttavia, l’utilizzo delle VPN non è sempre visto di buon occhio ovunque: ad esempio, nel Regno Unito, usare una VPN per aggirare blocchi, filtri o restrizioni può essere considerato una violazione delle regole locali e delle policy dei fornitori di servizi. È quindi importante ricordare che, pur essendo strumenti leciti nella maggior parte dei paesi, le VPN vanno usate con consapevolezza e nel rispetto delle normative vigenti.

L'articolo VPN Regno Unito, l’utilizzo aumenta del 1400% con la nuova legge Online Safety Act del Regno Unito proviene da il blog della sicurezza informatica.

@Test

Messaggio di prova

The HP 115BR is not one of the most well-known products from Hewlett-Packard. And yet, it was remarkably important nonetheless. This hardware once synced time around the world. Now, for our 2025 One-Hertz Challenge, [curiousmarc] has taken on the job of restoring it.

The HP 115BR itself was not used alone, but in concert with the HP5060A atomic clock. The latter would output a 100 KHz reference output. It was the job of the HP 115BR to divide this frequency down to provide a superbly accurate 1-second tick.

The example on [curiousmarc]’s bench showed up in poor shape. It was “very broken,” and he reported that it had also previously been hacked to some degree. However, he has been able to restore it to proper functionality, including the special modification for continuous tick adjustment, as used in the 1964 flying atomic clock experiment. He was even able to sync it to NIST’s current atomic clock signal from Fort Collins using the WWW radio signal.

We’ve seen plenty of old HP metal restored over the years; it’s always pleasant to see how well things were built back in the day. Video after the break.

youtube.com/embed/LMU0xd4oSnI?…

hackaday.com/2025/07/29/2025-o…

Do you find an odd comfort in the uncanny, regular intonations of a Numbers Station? Then check out [edent]’s numbers station project, which leverages the browser’s speech synthesis engine to deliver a ceaseless flow of (mostly) numbers, calmly-intoned in various languages.

The project is an entry for the annual JavaScript Golfing Competition, in which participants aim to create a cool program in 1024 bytes or less. It cleverly relies on the Web Speech API to deliver the speaking parts, which helps keep the code size tiny. The only thing it’s missing is an occasional shadow of static drifting across the audio.

If you’re new to numbers stations, our own [Al Williams] is here to tell you all about them. But there’s no need to tune into an actual mysterious radio signal just to experience weird numbers; just fire up [edent]’s project, put on some headphones, and relax if you can.

hackaday.com/2025/07/29/number…

Those of us who like to monitor air traffic with ADS-B aggregators such as FlightAware and ADS-B Exchange tend to see some interesting flight paths. I’m not talking about the truly ambitious pictures drawn by pilots, or even the more ribald ones, but rather flights that follow paths that seem to make little sense from either a commercial or leisure standpoint.

Most of these mystery flights have long straight stretches interrupted by occasional tight loops, and often cover great distances across rural and urban landscapes alike. A glance at the ADS-B data indicates that these flights are usually pretty close to the ground, and are often completed by helicopters. Occasionally, the registration of the aircraft will even indicate ownership by some “three-letter” federal agency.

Although mystery helicopters flying odd patterns in the sky seems like a good excuse to don a tinfoil hat and head to one’s bunker, chances are pretty good that these aircraft are engaged in a far less nefarious and far more useful endeavour: aerial transmission line patrols. These flights are key to keeping the transmission lines that form the backbone of the grid in tip-top shape, especially at a time of unprecedented growth in load and a shift in the generation profile away from fossil fuels towards renewables.

Federal Alphabet Soup

Although the grid as we know it today in North America appears to be a monolithic machine, it’s actually a far-flung collection of interconnected sub-grids, operating more or less in concert to provide uninterrupted service to 400 million people. While part of that cooperation can be explained by market forces doing what they do best, a lot of the interoperability that makes the grid work and gives it the reliability we’ve come to expect can be traced to government regulations.
The North American grid stretches from the northern part of Mexico well into Canada, and is divided into four main interconnected sub-grids. Source: FERC.
In the United States, the regulations that bulk power system (BPS) operators must follow come from the Federal Energy Regulatory Commission (FERC), a federal agency of the Executive Branch that ultimately answers to the President through the Secretary of Energy. FERC is somewhat analogous to the Federal Communications Commission in that regard, but while the FCC creates standards and enforces them directly, FERC delegates its standards-setting and enforcement authority to a separate body, the National Electric Reliability Corporation, or NERC.

For as critical to modern life as the grid is, the existence of a body dedicated solely to ensuring its reliability is a shockingly recent development. In its current form, the NERC has only existed since 2005, created in response to the 2003 blackout in the Northeast United States. Before that, NERC was the National Electric Reliability Council, which itself only came into being in 1968 in response to a prior Northeast blackout in 1965. Both versions of NERC sound a little like closing the barn doors after the horses have gotten out, but engineering something as large and complex as the grid is largely a learn-by-doing exercise, and NERC’s regulations are what BPS operators use to ensure that their systems are in line with current best practices.

On Patrol

Patrolling transmission lines is one of the main ways that BPS operators make sure they’re up to snuff with NERC rules. These patrols give an up-close and personal look at the transmission lines and the structures that support them, along with the rights-of-way (ROWs) along which they’re built, and any defects noted during these inspections can be scheduled for repair before they cascade into widespread system failures.

Transmission line patrols can take many forms, but the simplest to perform in some regions is probably a ground patrol. Ground patrols are often as simple as a single engineer driving a truck along a transmission line right-of-way, visually inspecting each tower along the way. Ground patrols such as these are limited by what can be seen with the linesman’s Mark I eyeballs or perhaps a pair of binoculars, but they’re still a valuable part of the patrolling process. The “boots-on-the-ground” approach also has the advantage of potentially coming across broken equipment that has fallen from structures, like the nuts and bolts that hold together towers, or even fragments of failed insulators. Occasionally, ground patrols will come across the carcasses of unfortunate animals that have completed a circuit,

But given the huge geographic footprint of transmission lines, some of which span hundreds of miles and often pass over remote and rugged landscapes, ground patrols can be limiting. They tend to be very time-consuming; transmission lines often cross privately owned property, and while the rights-of-way usually allow BPS operators to legally access the property, in practice, coordinating with owners to unlock gates can complicate matters. Add to that factors such as the potential need to cross streams or wetlands, potential for property damage from truck tires, and the fact that inspection is limited to what’s visible from the ground, and ground patrols can be difficult.

The obvious solution to these problems is to get above it all and inspect transmission lines from the air. Airborne inspection offers significant advantages over ground patrols, but the chief benefit is speed. Airborne inspections can inspect long stretches of a transmission line far faster than a ground patrol, and without worrying about access issues. Airborne patrols can also make inspections over rough terrain a relative snap, although such inspections often call for more experienced pilots.

It would seem that aerial power line patrols are an ideal use case for UAVs, and indeed, many of the 300 to 400 aerial inspection companies operating in the United States today offer drone-based inspection services. But even with the vastly less expensive per-hour cost of operating a drone, helicopter inspections dominate the industry today. There are a couple of reasons for this, but the most important are speed and payload capacity. A typically equipped Bell 407 helicopter, for example, carries enough primary and reserve fuel to inspect 170 miles (273 km) of transmission line with a single takeoff and landing. A UAV patrol, on the other hand, usually has to operate within line-of-sight of the operator, and has to land frequently for battery changes. This leads to frequent relocations of the base of operations, resulting in some of the same access problems as ground patrols. It’s also significantly slower than helicopter patrols, taking up to five times longer to complete an equivalent length of line as a helicopter patrol.

Helicopters also have UAVs beat when it comes to payload capacity. Even large UAVs are limited in how many instruments they can carry, whereas a helicopter has effectively no limit. This makes helicopters a multispectral imaging platform, with HD visible-light video to capture images of potential structural problems, forward-looking infrared (FLIR) scanners that look for overheating due to corrosion in a splice or an internal defect in the conductors, and LiDAR scanners that can image the entire ROW and the structures within it. But perhaps most significantly, UAVs can’t carry aloft an experienced linesman, whose training can be key to quickly locating something that needs a closer look from the sensor platforms onboard.

youtube.com/embed/KPjjhqPPdMA?…

My Corona

The breakdown voltage of air is approximately 30 kV, and while this figure varies slightly with atmospheric conditions such as temperature and humidity, it is generally well below the voltage on most transmission lines in the BPS. That makes flashover a possibility anywhere in the system, and the potential damage caused by an intense high-current discharge to both transmission system components and the surrounding environment makes it critical to detect defects that could lead to it.

Luckily, physics provides an early warning system in the form of corona discharge. Corona discharge occurs when the air surrounding a conductor becomes ionized, turning into a conductive plasma. It can happen anywhere along the transmission system, but it’s particularly likely to happen at places where the electric field is concentrated, such as sharp points. These are generally avoided when designing the system, but faults can occur that lead to their formation, such as broken strands in conductors. Sometimes these defects are visible to the naked eye, but more often, they reveal themselves with characteristic emissions in the ultraviolet part of the EM spectrum.

Corona discharge starts when a strong electric field accelerates free electrons in the air surrounding a defect. If the field is sufficiently strong, the kinetic energy of these electrons causes other air molecules to be ionized, starting an electron avalanche. These excited electrons propagate outward to a distance where the electric field is no longer strong enough to accelerate them, at which point the excited electrons return to their ground state and emit a photon of light. Since air is 78% nitrogen, the photons are mostly in the UV range, with just 5% being in the just barely visible end of the spectrum. This gives corona discharge its characteristic purplish-blue glow.

The other principal component of air, oxygen, comes into play as well. The free electrons in the corona discharge can split diatomic oxygen, leaving behind two negative oxygen ions. Each of these can then combine with a diatomic oxygen molecule to form ozone (O₃), a powerfully reactive oxidizer that can quickly corrode aluminum in conductors and steel in the support structure. The ozone can also combine with atmospheric nitrogen to form nitrogen oxides that, in the presence of water and oxygen, eventually create nitric acid. This strong acid can quickly strip the zinc coating from galvanized steel and attack passivated coatings on parts. Without these coatings, metal parts are unprotected from the elements and can quickly corrode and lose mechanical strength.

Corona discharge can be extremely costly to BPS operators. Specialized corona discharge cameras are used to detect corona faults. These cameras filter out the abundant UV-A and UV-B light in sunlight using a “solar blind” filter. This leaves only shortwave UV-C light below 280 nm in wavelength, which the ozone layer completely blocks out. Any light in this band has to come from nitrogen fluorescence, which makes it an effective way to detect corona discharge.

Corona cameras usually have a UV beam splitter to send light to a pair of detectors, one to capture the visible light coming from the scene and one that captures only the light remaining after passing through a solar-blind filter. The few photons of UV light that make it through the filter are amplified by a UV image intensifier, which uses a photocathode to release multiple electrons for each UV photon. These are accelerated in a strong electric field toward a phosphor screen, which converts them to visible light, which is picked up by a CCD camera and combined with the visible light scene. This shows the corona discharge as an overlay that allows operators to see where the discharge is originating from.
Corona cameras couple detection of “solar-blind” UV discharge with visible-light imagery to detect places where corona discharge might be happening. Here, a drone-carried corona camera shows a corona hot spot near a reinforcement in a phase conductor on a 1,000-kV transmission line. Source: Professionele Drones.

In the Weeds

One of the more stringent sets of NERC regulations is FAC-003-5, Transmission Vegetation Management. It might seem a little incongruous for an organization that sets standards for nuclear power plants and cybersecurity of critical infrastructure to worry about tree trimming, but studies show that vegetation contacts account for 16% to 23% of all outages in the US and Canada. Most of those outages occur in the distribution system, which is bad enough, but if vegetation were to contact lines in the transmission system, the failure cascade could be devastating. For an example of how bad vegetation contacts in the transmission system can be, look no further than the 2003 blackout in the northeast US, which started when overloaded 345 kV transmission lines in Ohio sagged into foliage. A software issue then compounded the problem, causing safety systems to trip and plunging customers from Ontario to the Mid-Atlantic states into darkness.

FAC-003-5 isn’t exactly light reading, going into great detail as it must to define terms and set actionable standards. The gist of the document, though, is contained in just a few tables that list the Minimum Vegetation Clearance Distances (MVCD) for both AC and DC systems. In general, the MVCDs increase with the nominal line voltage, which makes sense; the higher the voltage, the greater the potential flashover distance. More surprisingly, though, is that MVCDs increase dramatically with elevation. This has to do with the dielectric strength of air, which depends on its density. That means the thinner air at higher altitudes has a greater flashover distance, so more clearance is required.

For all the havoc vegetation contacts can wreak, the MVCDs are surprisingly narrow. For a nominal 800-kV line, the MVCD at sea level is a mere 11.6 feet (3.6 m), and only increases to 14.3 ft (4.4 m) over 14,000 ft (4268 m) elevation. These are minimum distances, of course, calculated using equations that take into account the breakdown voltage of air and the potential for flashover to vegetation. In practice, though, BPS operators keep ROWs well-groomed, aiming for to keep trees far beyond the MVCD requirements. Operators are especially watchful for trees at the edges of ROW that might be more than the MVCD away from the lines while standing, but could fall during a storm and make contact.

Assessing vegetation encroachments into the ROW is another job that can be tackled quickly by aerial patrols. The sensor platform in this case is often as simple as a spotter with a pair of binoculars or a camera, but in many cases, LiDAR sensors are used to scan the entire right of way. The LiDAR sensor is tied into the aircraft’s GPS system, resulting in a geotagged point cloud that can be analyzed after the flight. Three-dimensional visualizations of the transmission lines, their supporting structures, the ground below, and everything within and adjacent to the ROW can be viewed interactively, making it easy to spot trees with the potential to cause problems. These visualizations allow users to virtually “fly the line,” giving BPS operators a view that would be impossible to achieve even by flying a drone dangerously close to the lines.

youtube.com/embed/h0bkvF92lgA?…

hackaday.com/2025/07/29/power-…

Nei primi mesi della nuova presidenza di Donald Trump, il governo federale degli Stati Uniti ha apportato tagli drastici alla spesa per la sicurezza informatica, tagliando budget, personale e una serie di iniziative volte a proteggere le infrastrutture digitali. Queste misure hanno allarmato alcuni funzionari locali, tra cui il responsabile della sicurezza informatica dello Stato di New York, Colin Ahern, e la governatrice Kathy Hochul, che hanno pubblicamente espresso preoccupazione per l’impatto di tali misure.

Ahern, parlando a nome dell’amministrazione di New York, ha osservato che le azioni della Casa Bianca compromettono la capacità del Paese di contrastare le minacce informatiche esterne. Particolare malcontento è stato causato dal cosiddetto “Big Ugly Bill” adottato a luglio, il principale provvedimento finanziario dell’amministrazione, che ha ridotto significativamente i finanziamenti per le principali strutture informatiche.

Il budget della Cybersecurity and Infrastructure Security Agency (CISA) è stato tagliato di 135 milioni di dollari, portando i tagli totali per tutte le agenzie federali a oltre 1,2 miliardi di dollari. Allo stesso tempo, il documento prevede un finanziamento di un miliardo di dollari per operazioni informatiche offensive all’estero nei prossimi quattro anni.

I tagli sono stati accompagnati da licenziamenti di massa, con oltre cento dipendenti della CISA che hanno perso il lavoro. Alcuni di loro sono stati successivamente reintegrati per ordine del tribunale. Anche la candidatura del nuovo direttore federale per la sicurezza informatica è stata criticata : Sean Plankey, il candidato nominato dall’amministrazione Trump, non aveva alcuna esperienza nel settore. Nel frattempo, il Dipartimento dell’Istruzione degli Stati Uniti ha sospeso un programma per aiutare le scuole nella sicurezza digitale.

Gli Stati, pur avendo poteri propri in materia di sicurezza informatica, fanno molto affidamento sul sostegno federale, soprattutto per proteggere risorse come i servizi idrici, gli hub energetici e le infrastrutture di trasporto. Per contribuire a compensare il deficit causato dalle misure federali, il governatore Hochul ha scritto al Segretario per la Sicurezza Interna Kristi Noem chiedendogli di stanziare urgentemente fondi attraverso l’Homeland Security Grant Program. Questi fondi sono necessari per sostenere la sicurezza locale e regionale, anche nell’ambito digitale.

New York, tuttavia, non rallenta. Ahern ha affermato che lo Stato sta continuando a intensificare gli sforzi per costruire difese resilienti, collaborando con altre regioni e livelli di governo. Questi sforzi includono l’espansione delle infrastrutture, il rafforzamento delle relazioni interagenzia e il lancio di nuove iniziative educative e tecnologiche.

Una di queste misure è una legge recentemente firmata dal governatore Hochul, che impone a tutti i dipendenti pubblici che lavorano con i computer di seguire una formazione sull’igiene digitale. Inoltre, i governi sono tenuti a segnalare gli incidenti entro 72 ore da un attacco informatico, o entro 24 ore se i dati vengono rubati a seguito di un attacco. È inoltre previsto l’istituzione di un programma di sovvenzioni per l’ammodernamento dei sistemi idrici e fognari, al fine di garantire che siano conformi ai nuovi requisiti normativi.

Inoltre, lo Stato sta aprendo un nuovo ufficio per la sicurezza informatica a New York City, che impiegherà professionisti, compresi quelli licenziati dalle agenzie federali a seguito della ristrutturazione. Il governo intende utilizzare una campagna pubblica con lo slogan “DOGE dice: Sei licenziato. New York dice: Sei assunto” come simbolo del nuovo corso e come sostegno ai professionisti che hanno perso il lavoro a causa delle decisioni politiche di Washington.

L'articolo Gli Stati Uniti tagliano ancora la spesa sulla Sicurezza Informatica ed è bufera proviene da il blog della sicurezza informatica.

Un attacco informatico ai danni di ACEA SpA, colosso italiano attivo nella produzione e distribuzione di elettricità, gas e servizi idrici, è stato rivendicato dai criminali informatici di World Leaks. Secondo quanto riportato, l’azienda compare nella sezione “Disclosed” – segnale che i presunti autori dell’attacco avrebbero già deciso di rendere pubblici o divulgare dati interni sottratti. Stando al portale, la pubblicazione completa del materiale sarebbe prevista tra circa 1 giorno, 2 ore e 52 minuti, a partire dal momento della cattura dello screenshot.

ACEA SpA, che conta oltre 9.200 dipendenti e registra un fatturato annuo di 4,3 miliardi di dollari, non ha ancora rilasciato alcun comunicato ufficiale in merito alla violazione né ha confermato l’accaduto.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Print Screen dal data leak site di World Leaks (29/07/2025)
La vicenda al momento risulta ancora in evoluzione e si attendono aggiornamenti dall’azienda o da eventuali autorità competenti.

Nel frattempo, cresce la preoccupazione per i possibili compromissioni di dati sensibili, visto il ruolo strategico di ACEA nel settore energetico e ambientale italiano.

Il caso attuale ricorda da vicino quanto accaduto a marzo 2023, quando la cybergang BlackBasta colpì ACEA fu già vittima di un grave attacco informatico che portò alla pubblicazione online di oltre 800 GB di dati. Quell’episodio aveva suscitato grande allarme sia per la quantità di informazioni sottratte sia per il ruolo strategico dell’azienda nei servizi pubblici.
Print screen del Data Leak Site di BlackBasta di Marzo del 2023 (Fonte Red Hot Cyber)
Al momento ACEA SpA non ha ancora diffuso un comunicato stampa ufficiale che possa confermare la reale portata dell’accaduto.

Si attende quindi una presa di posizione da parte dell’azienda per chiarire se si tratta effettivamente di un attacco informatico, o se invece la rivendicazione sia una truffa orchestrata dal gruppo di threat actors per attirare attenzione o estorcere denaro senza disporre di dati reali.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione dell’organizzazione qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.

Chi sono i criminali informatici di World Leaks

World Leaks nasce dalle ceneri del gruppo Hunters International, un rebrand avvenuto a gennaio 2025 dopo mesi di cambiamenti tattici e strategici. Hunters, a sua volta, era comparso alla fine del 2023 come evoluzione del noto gruppo ransomware Hive, operando come ransomware-as-a-service (RaaS) e colpendo più di 300 vittime, in gran parte in Nord America. In questa prima fase, il gruppo aveva adottato la tecnica della doppia estorsione: cifrare i dati e contemporaneamente minacciare di pubblicarli per convincere le aziende a pagare il riscatto.

Con l’inizio del 2024, Hunters ha però progressivamente cambiato approccio, spostando il focus dall’attività di cifratura verso il furto e la rivendita diretta dei dati, arrivando anche a contattare in modo mirato dirigenti e dipendenti delle aziende vittime per fare pressione. A maggio 2024 il gruppo ha annunciato ufficialmente la chiusura dell’operazione Hunters International, dichiarando di rilasciare le chiavi di decrittazione gratuite per le vittime ancora colpite. Secondo alcuni esperti, questa mossa potrebbe essere stata condizionata da pressioni delle forze dell’ordine e dall’intensificarsi delle indagini internazionali sui gruppi ransomware.

Da questo passaggio è nato il progetto World Leaks, che rinuncia completamente alla parte di cifratura tipica del ransomware e punta esclusivamente sulla sottrazione di dati sensibili, pubblicandoli su un data leak site (DLS) nel dark web per estorcere denaro.

In pochi mesi, World Leaks ha già rivendicato almeno 20 vittime, con dati sottratti resi pubblici per 17 di loro. Questo modello, che evita di bloccare le attività delle aziende ma punta solo al danno reputazionale e legale derivante dalla diffusione dei dati, sembra destinato a diventare sempre più diffuso, perché meno visibile agli occhi delle forze dell’ordine e potenzialmente più redditizio.

L'articolo World Leaks rivendica un Attacco informatico ad ACEA. Aggiornamenti tra 21 ore proviene da il blog della sicurezza informatica.

Il produttore di periferiche di gioco Endgame Gear ha segnalato che tra il 26 giugno e il 9 luglio 2025, un malware è stato inserito nel sito Web ufficiale dell’azienda, nascosto nello strumento di configurazione del mouse OP1w 4k v2. Circa due settimane fa su Reddit sono comparse segnalazioni di malware nello strumento di personalizzazione OP1.

Gli utenti hanno segnalato contemporaneamente diverse differenze chiave, che indicavano che il sito web dell’azienda ospitava un programma di installazione trojanizzato. Ad esempio, hanno attirato l’attenzione sulla dimensione del driver, aumentata a 2,8 MB (rispetto ai 2,3 MB della versione “pulita”), nonché sul fatto che le proprietà del file indicavano “Synaptics Pointing Device Driver” (invece di “Endgame Gear OP1w 4k v2 Configuration Tool”).

Dopo essere stato caricato su VirusTotal, il malware è stato identificato come backdoor XRed, ma i rappresentanti di Endgame Gear affermano che l’analisi del payload dannoso non è ancora completa. La scorsa settimana, l’azienda ha confermato che lo strumento Endgame_Gear_OP1w_4k_v2_Configuration_Tool_v1_00.exe ospitato sul suo sito web era effettivamente infetto da malware. Tuttavia, Endgame Gear non ha spiegato esattamente come ciò sia accaduto.

Il file dannoso è stato pubblicato sulla pagina endgamegear.com/gaming-mice/op1w-4k-v2 e il produttore sottolinea che tutti coloro che hanno scaricato l’utility da questa pagina durante il periodo specificato sono stati infettati. Allo stesso tempo, gli utenti che hanno scaricato l’utility dalla pagina di download principale (endgamegear.com/downloads), tramite GitHub e Discord, non sono stati interessati, poiché la versione “pulita” è stata distribuita attraverso questi canali.

Ora pare che il malware sia stato rimosso.

Endgame Gear consiglia agli utenti che hanno scaricato la versione dannosa dello strumento di eliminare tutti i file dalla cartella C:ProgramDataSynaptics e di scaricare nuovamente la versione sicura da questa pagina. Poiché il malware ha funzionalità keylogger e può aprire l’accesso remoto al sistema e rubare dati, si consiglia agli utenti interessati di eseguire una scansione completa del sistema con un antivirus e di assicurarsi che tutti i residui dell’infezione vengano distrutti.

Si consiglia inoltre di modificare le password di tutti gli account importanti, tra cui quelli dell’online banking, dei servizi di posta elettronica e dei profili di lavoro. Endgame Gear afferma che in futuro l’azienda eliminerà le pagine di download separate e aggiungerà la verifica dell’hash SHA e le firme digitali a tutti i file per verificarne l’integrità e l’autenticità della fonte.

Vale la pena notare che già a febbraio 2024 gli analisti di eSentire avevano lanciato l’allarme: XRed avrebbe potuto spacciarsi per Synaptics Pointing Device Driver. All’epoca, il malware veniva distribuito anche tramite software trojanizzato fornito con gli hub USB-C venduti su Amazon.

L'articolo Chi ha messo il topo in trappola? Un malware è stato nascosto nei driver della Endgame Gear proviene da il blog della sicurezza informatica.

La piattaforma Lovense che si è da tempo ritagliata una nicchia di mercato grazie ai sex toy controllati tramite app (tra cui modelle come Lush, Gush e Kraken), è affetta da un bug di sicurezza che consente di ottenere l’indirizzo email di chiunque utilizzando il nickname pubblico. La falla riguarda sia gli utenti abituali che le modelle che usano Lovense in streaming e show. Poiché i nickname sulla piattaforma sono spesso pubblici su forum o social media, gli aggressori possono facilmente abbinare i dati di accesso a indirizzi email reali, creando il rischio di doxxing e stalking.

La vulnerabilità è stata scoperta da un ricercatore con lo pseudonimo di BobDaHacker che, insieme ai colleghi Eva e Rebane, ha eseguito il reverse engineering dell’applicazione e automatizzato il processo di attacco. Durante l’analisi, è emerso che il bug era nascosto nell’interazione tra la parte server di Lovense e la chat XMPP, attraverso la quale vengono scambiati messaggi tra gli utenti.

Secondo il ricercatore, la vulnerabilità è stata scoperta per caso, mentre cercava di bloccare le notifiche di un altro utente tramite l’interfaccia di Lovense. Dopo aver premuto il pulsante “Mute”, ha studiato la risposta dell’API ed è rimasto sorpreso nel trovarvi l’indirizzo email di qualcun altro. Ciò ha sollevato sospetti e ulteriori analisi hanno dimostrato che, utilizzando un determinato algoritmo e formulando una richiesta corretta, è possibile ottenere l’indirizzo di qualsiasi partecipante alla piattaforma utilizzando il suo nickname pubblico. Inoltre, tale raccolta di dati può essere facilmente automatizzata, richiedendo informazioni in massa e ad alta velocità.

L’attacco funziona come segue: innanzitutto, l’attaccante invia una richiesta POST all’endpoint /api/wear/genGtoken utilizzando le proprie credenziali. In risposta, il server emette un token di autenticazione (gtoken) e le chiavi per la crittografia simmetrica (AES-CBC). Quindi, qualsiasi login noto viene crittografato con le chiavi ricevute, dopodiché viene inviato a /app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username}.

In risposta alla richiesta, il server restituisce un indirizzo email falso, in base al quale viene creato un Jabber ID (JID) artificiale. Questo identificativo viene aggiunto all’elenco dei contatti della chat XMPP e, dopo l’invio di una richiesta standard per aggiungere un amico (tramite il protocollo XMPP), l’elenco degli utenti viene aggiornato. Di conseguenza, nell’elenco compare non solo un falso, ma anche un JID reale, creato secondo un modello, in cui il vero indirizzo email della vittima viene sostituito con il login e il dominio: ad esempio, una riga come questa bleeping!!!example.com_w@im.lovense.comindica email bleeping@example.com.

Raccogliere i dati di accesso, come sottolineano gli analisti, non è difficile: vengono pubblicati su siti come lovenselife.com e nei profili dei modelli. Inoltre, l’estensione proprietaria FanBerry, rilasciata da Lovense, può essere utilizzata per raccogliere automaticamente i dati di accesso, soprattutto considerando che molti streamer utilizzano gli stessi nickname su piattaforme diverse.

Ma non è l’unico problema: i ricercatori hanno anche scoperto una vulnerabilità critica che consente il controllo completo dell’account. Per sfruttarla, è sufficiente conoscere l’indirizzo email. Grazie a questo, è possibile generare un gtoken valido , senza dover inserire una password, e accedere a qualsiasi parte dell’ecosistema Lovense, comprese le app Lovense Connect, StreamMaster e Cam101. Inoltre, secondo i ricercatori, la vulnerabilità ha interessato anche gli account amministratore.

Lovense ha poi risolto parzialmente questa falla: ora i token vengono rifiutati a livello API, ma i gtoken stessi possono ancora essere creati senza inserire una password. Entrambi i bug sono stati inizialmente documentati e inviati all’azienda il 26 marzo 2025, e anche tramite HackerOne. Ad aprile, Lovense ha segnalato che il problema relativo all’email era già noto e sarebbe stato risolto in una versione futura dell’applicazione. In totale, il team di ricerca ha ricevuto 3.000 dollari per i bug scoperti.

Al 4 giugno, Lovense ha riferito che entrambi i problemi erano stati completamente risolti, ma i ricercatori hanno smentito questa affermazione, confermando che il bug relativo alla divulgazione delle email persiste. Solo il bug relativo a gtoken è stato completamente risolto a luglio. Per quanto riguarda il secondo bug, Lovense ha affermato che ci vorranno circa 14 mesi per risolverlo, poiché la modifica interromperà la compatibilità con le versioni precedenti del client.

Secondo Lovense, il 3 luglio l’azienda ha implementato una funzionalità proxy proposta dai ricercatori per mitigare l’attacco. Tuttavia, anche dopo l’aggiornamento forzato, il bug relativo alle email è rimasto, e non è chiaro cosa sia stato modificato esattamente. Ricordiamo che già nel 2016 l’azienda aveva riscontrato vulnerabilità che consentivano di determinare la presenza di un account tramite email o di estrapolarlo direttamente dalle richieste.

L'articolo Ti “vibra” l’E-mail! Una falla “hot” su Lovense espone le email degli utenti proviene da il blog della sicurezza informatica.

PC gaming in the modern era has become a GPU measuring contest, but back when computers had far fewer resources, every sprite had to be accounted for. To many, this was peak gaming. So let’s look to the greats of [Martin Hollis, David Moore, and Olly Betts], who had the genius (or insanity) to create Tetris in a single BBC BASIC line.

Created in 1992, one-line Tetris serves as a great use of the limited resources available. The entirety of the game fits within 257 bytes. With the age of BASIC, the original intent of the game for BBC BASIC was to be played on computers similar to Acorn’s BBC microcomputer or Archimedes.

One line Tetris has all the core features of the original game. Moving left, right, and rotating all function like the traditional game, most of the time. Being created in a single line, there were a few corners cut with bug fixing. Bugs such as crashing every 136 years of play due to large numbers or holding all keys causing the tetrominoes to freeze make it an interesting play experience. However, as long as our GPUs are long enough to play, we don’t mind.

If you want to experience the most densely coded gaming experience possible but don’t have one of the BBC BASIC computers of old, make sure to try this emulator with a copy of the game. Considering the amount done in a single line of BBC BASIC, the thought may come into mind on what could be done with MORE than a SINGLE line of code. For those with this thought, check out the capabilities of the coding language with modern hardware.

Thanks to [Keith Olson] for the tip!

hackaday.com/2025/07/29/tetris…

So you want a light that runs off solar power. But you don’t want it to go dark if your batteries discharge. The answer? A solar-mains hybrid lamp. You could use solar-charged batteries until they fall below a certain point and then switch to mains, but that’s not nearly cool enough. [Vijay Deshpande] shows how to make a lamp that draws only the power it needs from the mains.

The circuit uses DC operation and does not feed power back into the electric grid. It still works if the mains is down, assuming the solar power supply is still able to power the lamp. In addition, according to [Vijay], it will last up to 15 years with little maintenance.

The circuit was developed in response to an earlier project that utilized solar power to directly drive the light, when possible. If the light was off, the solar power went to waste. Also, if the mains power failed at night, no light.

The answer, of course, is to add a battery to the system and appropriate switching to drive the lights or charge the battery and only draw power from the mains when needed. Since the battery can take up the slack, it becomes easier to load balance. In periods of low sunlight, the battery provides the missing power until it can’t and then the mains supply takes over.

Comparators determine whether there is an under-voltage or over-voltage and use this information to decide whether the battery charges or if the main supply takes over. Some beefy MOSFETs take care of the switching duties. Overall, a good way to save and reuse solar cell output while still drawing from the grid when necessary.

Small solar lights don’t take much, but won’t draw from commercial power. Solar “generators” are all the rage right now, and you could probably adapt this idea for that use, too.

hackaday.com/2025/07/29/solar-…

Mankind has been using water to mark the passage of time for thousands of years. From dripping stone pots in Ancient Egypt to the more mechanically-complicated Greco-Roman Clepsydrae, the history of timekeeping is a wet one — and it makes sense. As an incompressible fluid, water flows in very predictable patterns. If you fill a leaky pot with water and it takes an hour to drain, it will also take an hour the next time you try. One Hertz Challenge entrant [johnowhitaker] took this idea in a different direction, however, with an electromechanical clock that uses dripping water as an indicator.

This clock uses a solenoid to briefly pop the plunger out of a water-filled syringe. This allows a drop to fall from the tip, into a waiting beaker. In addition to the satisfying audio indication this produces, [johnowhitaker] added a bit of food coloring to the dripping water for visual flair. The entire thing is controlled by a Raspberry Pi Pico and a motor driver board, so if you’ve got some spare parts lying about and would like to build your own be sure to head over to the project page and grab the source code.

While this clock isn’t exactly here for a long time (either the syringe will eventually empty or the beaker will overflow), it’s certainly here for a good time. [John] and commenters on his project even have ideas for the next steps: a 1/60 Hz beaker changer, and a 1/600 Hz spill cleaner. Even so, the first couple of drops hitting the beaker produce a lovely lava lamp-esque cloud that is a joy to watch and has us thinking about other microfluidics projects we’ve seen.

And remember — it’s not too late to enter the 2025 One Hertz Challenge!

hackaday.com/2025/07/28/2025-o…

Si è svolto con successo ad Harbin il 27 e 28 luglio il 7° Forum sull’Innovazione nella Sicurezza del Cyberspazio “Zongheng”. Organizzato congiuntamente dalla National University of Defense Technology e dall’Harbin Institute of Technology. Erano inoltre presenti il vicepresidente e preside dell’istruzione della scuola Wu Jianjun e il vicepresidente Chen Jinbao.

Quest’anno, il forum ha avuto come tema “Costruire congiuntamente la difesa informatica e proteggere la sicurezza informatica”, seguendo i principi di “Concentrarsi sulla frontiera, mettere in comune la conoscenza, scoprire i talenti e innovare oltre”.

L’evento si è articolato in un forum principale, un simposio accademico internazionale di alto livello e 22 forum tematici speciali. Grazie alle competenze consolidate e al ruolo di primo piano dell’università nell’ambito della sicurezza del cyberspazio, l’iniziativa ha attratto circa 2.000 esperti e studiosi di rilievo provenienti dalla Cina e dall’estero, inclusi oltre dieci accademici dell’Accademia Cinese delle Scienze e dell’Accademia Cinese di Ingegneria, oltre a più di 100 importanti istituzioni.

La cerimonia di apertura è stata moderata da Han Zhuchun, Preside della Facoltà di Contromisure Elettroniche. Tra i principali risultati presentati spiccano il “Libro bianco sulla tecnologia di mappatura del cyberspazio” e il “Libro bianco sul middleware autonomo, sicuro e affidabile: all’avanguardia nell’informatizzazione”. Per la prima volta, è stata inoltre illustrata la relazione “Le dieci principali sfide scientifiche nella sicurezza del cyberspazio per il 2025”, che si concentra sull’evoluzione futura della teoria della sicurezza informatica e sull’individuazione delle tecnologie che rappresentano colli di bottiglia. Durante il forum, sono stati anche premiati i membri più meritevoli del Comitato Accademico e consegnati riconoscimenti ai migliori lavori accademici.

Il forum principale è stato moderato da Guo Shize, ricercatore presso il Centro di Ricerca sulla Sicurezza Informatica dell’Esercito Popolare di Liberazione. Vi hanno preso parte esperti di fama come Li Xiang, Han Jiecai, Fang Binxing, He Xiaodong, Yin Hao, Feng Dengguo, Sun Shengli, Li Jindong, Li Hui, Zhang Hongke, Zhang Baodong, Zheng Hairong e Guan Xiaohong, insieme a figure di rilievo nazionali e internazionali come Rao Zhihong, Yang Jianjun, Jia Yan,

Ma Jianfeng, Yun Xiaochun, Hu Yihua, Huang Zhitao e Shi Fan. I partecipanti hanno discusso temi all’avanguardia, tra cui “Sicurezza comportamentale dell’IA e barriere di sicurezza dell’IA” e “Costruire una nuova Internet sicura e affidabile”.

Nel corso del Forum “Zongheng”, giunto alla sua settima edizione, si è discusso a fondo delle sfide più attuali e prospettiche nel campo della sicurezza del cyberspazio. L’evento ha saputo valorizzare l’esperienza pluriennale e il ruolo strategico della National University of Defense Technology, trasformandosi in una piattaforma di riferimento per il confronto tra mondo accademico, industria e istituzioni.

Tra i temi centrali affrontati:

• Evoluzione delle minacce informatiche e nuove strategie difensive.
• Formazione e valorizzazione dei talenti nel settore della cybersicurezza, con un forum speciale dedicato alle modalità più efficaci per attrarre, preparare e trattenere esperti altamente qualificati.
• Innovazione tecnologica e ricerca accademica, anche grazie alla presentazione di importanti documenti come il Libro bianco sulla tecnologia di mappatura del cyberspazio e il Libro bianco sul middleware autonomo, sicuro e affidabile.
• Dieci principali sfide scientifiche nella sicurezza del cyberspazio per il 2025, un’analisi mirata a individuare le aree critiche in cui concentrare gli sforzi di ricerca e sviluppo.
• Tendenze globali della cybersecurity, grazie alla presenza – per la prima volta – di nove esperti internazionali che hanno portato contributi sulle frontiere della disciplina, ampliando la prospettiva internazionale dei partecipanti.
• Integrazione tra mondo accademico e imprese, con momenti dedicati a incontri, workshop e spazi espositivi in cui oltre 20 aziende leader del settore hanno illustrato le proprie soluzioni innovative.

Il forum ha inoltre consolidato collaborazioni strategiche con altre università e centri di ricerca, favorito la pubblicazione di contributi accademici sulla rivista Information Countermeasures Technology e creato opportunità concrete per l’attrazione di studenti e professionisti di alto livello.

In sintesi, il “Zongheng” si è confermato non solo come luogo di discussione scientifica, ma anche come motore di sviluppo per nuove idee, cooperazioni internazionali e rafforzamento della sicurezza nazionale in un contesto digitale in rapida evoluzione.

L'articolo Concluso il 7° Forum sull’Innovazione nella Sicurezza del Cyberspazio “Zongheng” ad Harbin proviene da il blog della sicurezza informatica.

I fisici dell’Università di Aalto (Finlandia) hanno stabilito un nuovo record mondiale per la durata dello stato coerente di un qubit superconduttore, l’elemento principale di un computer quantistico. Sono riusciti a raggiungere un tempo di coerenza massimo di 1 millisecondo, con un valore mediano di 0,5 millisecondi. Questo valore è notevolmente superiore ai valori precedenti, che raramente raggiungevano 0,6 millisecondi e risultavano solitamente instabili.

Nel calcolo quantistico, anche le frazioni di millisecondo contano. Più a lungo un qubit rimane in uno stato quantistico coerente, più operazioni possono essere svolte da un computer quantistico prima che si verifichino errori. Come sottolineano gli autori dello studio, tali progressi sono importanti non solo per il calcolo quantistico, ma anche per lo sviluppo di sensori e simulatori quantistici.

La chiave del successo sta nel miglioramento del design e dei materiali. I ricercatori hanno creato un nuovo tipo di qubit transmon, un tipo di qubit superconduttore resistente al rumore e ampiamente utilizzato nella moderna tecnologia quantistica. Hanno utilizzato film superconduttori ultrapuri e hanno prodotto il chip in un ambiente sterile. Gli elementi del circuito sono stati incisi mediante litografia a fascio di elettroni e le giunzioni Josephson, responsabili del comportamento quantistico, prodotte con elevata precisione.

Particolare attenzione è stata prestata alla purezza dei materiali e alla protezione dall’ossidazione. Anche difetti microscopici possono distruggere prematuramente lo stato quantico. Il chip è stato raffreddato a una temperatura prossima allo zero assoluto in un sistema frigorifero a diluizione, quindi è stato utilizzato uno speciale amplificatore per leggere i segnali senza distorsioni.

Dei quattro qubit sul chip, uno, denominato Q2, ha mostrato prestazioni particolarmente notevoli. Ha raggiunto costantemente una coerenza superiore al millisecondo in esperimenti ripetuti, confermando la robustezza della tecnica. Risultati simili sono già stati dimostrati da ricercatori che sono riusciti a far sì che i qubit superconduttori conservassero le informazioni 10 volte più a lungo del normale.

Sebbene il risultato rappresenti un importante passo avanti, la scalabilità rimane una sfida. Garantire una coerenza stabile su centinaia o migliaia di qubit transmon su un singolo chip è molto più difficile che con una singola istanza. Tuttavia, gli autori hanno pubblicato apertamente tutti i dettagli della tecnica, inclusi circuiti, parametri e protocolli di misura, in modo che altri gruppi di ricerca possano replicare e consolidare questo successo.

La ricerca è pubblicata sulla rivista Nature Communications e potrebbe avvicinare le tecnologie quantistiche alle applicazioni pratiche nel mondo reale.

L'articolo Computer Quantistici in lenta Evoluzione. Seppur lontani, superato il millisecondo di stato di coerenza proviene da il blog della sicurezza informatica.

Microsoft ha affermato che gli aggressori potrebbero aver sfruttato una vulnerabilità di bypass di Transparency, Consent, and Control (TCC) recentemente corretta per rubare informazioni sensibili dagli utenti macOS, inclusi i dati Apple Intelligence memorizzati nella cache.

TCC è un meccanismo e framework di sicurezza di macOS che impedisce alle app di accedere ai dati personali degli utenti, consentendo a macOS di controllare le modalità di accesso e utilizzo delle informazioni da parte delle app su tutti i dispositivi Apple. TCC ha il compito di richiedere l’autorizzazione per avviare nuove app e di visualizzare avvisi se un’app tenta di accedere a dati sensibili (inclusi contatti, foto, webcam e così via).

La vulnerabilità, identificata come CVE-2025-31199 scoperta da Microsoft, è stata risolta a marzo 2025, con il rilascio delle patch per macOS Sequoia 15.4.

Il problema era che, mentre Apple limita l’accesso TCC alle app con accesso completo al disco e blocca automaticamente l’esecuzione di codice non autorizzato, i ricercatori Microsoft hanno scoperto che gli aggressori potevano sfruttare l’accesso privilegiato dei plugin Spotlight per ottenere l’accesso a file sensibili e rubarne il contenuto.

In un rapporto appena pubblicato, i ricercatori Microsoft hanno dimostrato che la vulnerabilità (da loro denominata Sploitlight) potrebbe essere utilizzata per raccogliere dati, tra cui informazioni di Apple Intelligence e informazioni remote su altri dispositivi associati a un account iCloud.

In questo modo, gli aggressori potrebbero mettere le mani sui metadati di foto e video, sui dati di geolocalizzazione, sui dati sul riconoscimento facciale e delle persone, sulle informazioni sull’attività degli utenti, sugli album fotografici e sulle librerie condivise, sulla cronologia delle ricerche e sulle preferenze degli utenti, nonché su foto e video eliminati.

L'articolo Un nuovo bug su macOS consente il bypass del TCC per rubare i dati utenti proviene da il blog della sicurezza informatica.

Un attacco di phishing che imita una riunione urgente su Zoom viene utilizzato dai criminali informatici per rubare credenziali aziendali, utilizzando un’interfaccia falsificata così realistica che è quasi impossibile distinguerla da una vera videoconferenza. Cofense, l’azienda che ha scoperto la campagna, afferma di utilizzare un oggetto dell’email allarmante come “Situazione critica – Riunione di emergenza”, per indurre i destinatari a cliccare immediatamente sul link.

Dopo aver cliccato sul link, l’utente vede quella che sembra una connessione alla riunione. Per un po’, vede persino una finta animazione di “partecipazione alla riunione” e un’interfaccia video con immagini di partecipanti che si suppone siano già presenti – alcuni che salutano, altri che annuiscono.

Ma poi arriva il bello: appare un messaggio di errore di connessione e una richiesta di accesso ripetuto.

Il falso modulo di accesso a Zoom Workplace compila automaticamente l’indirizzo email aziendale della vittima, aumentando l’effetto di autenticità. I dati inseriti vengono immediatamente inoltrati agli aggressori.

L’attacco si è distinto per l’utilizzo di una tecnica di mascheramento dei link: la catena di reindirizzamenti inizia con l’indirizzo della legittima piattaforma Cirrus Insight CRM, ma alla fine porta a una falsa pagina Zoom ospitata su un dominio cloud poco appariscente.

Gli ideatori di questo schema sperano che la combinazione di autenticità visiva, dati precompilati e senso di urgenza riduca il livello di sospetto e porti a un rapido trasferimento di login e password. Cofense sottolinea che tali attacchi sono particolarmente efficaci quando imitano le comunicazioni aziendali o strumenti aziendali familiari, come Zoom, Teams, Slack e altri. L’elevato tasso di clic di tali email è dovuto al fatto che si integrano nei processi quotidiani, senza causare ansia nei destinatari.

Approcci simili che prevedono falsi relativi a videoconferenze o moduli di accesso sono già stati utilizzati in precedenza, ma questa campagna ne porta la sofisticatezza a nuovi livelli. Animazioni, transizioni fluide dello schermo ed elementi visivi della vera interfaccia Zoom rendono l’attacco quasi indistinguibile da una connessione di riunione legittima. Ciò è particolarmente pericoloso in un ambiente di lavoro ibrido in cui Zoom è diventato parte integrante delle operazioni aziendali.

Gli esperti raccomandano alle organizzazioni di informare ulteriormente i dipendenti su tali scenari, di rafforzare il filtraggio della posta elettronica e di limitare la possibilità di reindirizzamento a risorse esterne utilizzando policy di sicurezza interne. È inoltre importante verificare regolarmente l’autenticità degli URL utilizzati e, in caso di dubbio, aprire i link manualmente anziché cliccandoci sopra.

Come sempre, la consapevolezza al rischio degli esseri umani è l’arma più importante da sviluppare!

L'articolo Nuovi Attacchi di Phishing tramite Falso Meeting su Zoom vogliono rubare le credenziali aziendali proviene da il blog della sicurezza informatica.

I dispositivi intelligenti in rete non sono più semplici aiutanti, ma potenziali nemici. Con ogni nuovo termostato o TV connesso a Internet, si apre una nuova falla nell’infrastruttura digitale delle nostre case.

Questo ci ricorda una nuova minaccia scoperta nei termostati WiFi Network Thermostat X-Series, ampiamente diffusi. La vulnerabilità è considerata critica: sulla scala CVSS, ha ricevuto 9,8 punti su 10 ed è monitorata con il CVE-2025-7742. Se un dispositivo di questo tipo è connesso a Internet, è indifeso. Ma anche dietro un firewall, può essere utilizzato come punto di accesso a una rete aziendale o industriale.

La CISA ha sottolineato che le telecamere vulnerabili vengono utilizzate in tutto il mondo, anche nelle infrastrutture critiche di numerose strutture commerciali.

Secondo il ricercatore di sicurezza informatica Sovik Kandar di MicroSec, il server web integrato in questi termostati non richiede autenticazione. Un aggressore deve solo essere connesso alla stessa rete o ottenere l’accesso tramite Port Forwarding per cancellare le credenziali e assumere il pieno controllo del dispositivo. Questo scenario è del tutto possibile, soprattutto in un ambiente in cui i dispositivi IoT raramente ricevono aggiornamenti e vengono spesso lasciati incustoditi.

Questo non è certo il primo attacco ai termostati. L’anno scorso, i dispositivi Bosch avevano una minaccia simile : consentivano il caricamento e la completa compromissione di firmware arbitrari. Il problema risiede nell’architettura complessiva dell’IoT. Tali dispositivi non sono protetti di default e la loro distribuzione in aree critiche, dagli uffici alla produzione, li rende un comodo trampolino di lancio per gli attacchi.

Ma non è tutto. Nello stesso rapporto, un rappresentante di MicroSec ha rivelato un’altra pericolosa vulnerabilità, questa volta nei sistemi di videosorveglianza LG Innotek. Il modello obsoleto LNV5110R è ancora attivamente utilizzato in strutture commerciali, nonostante sia già stato rimosso dal supporto. La vulnerabilità consente l’esecuzione remota di codice arbitrario a livello di amministratore. Questo bug è sufficiente per caricare una speciale richiesta HTTP POST nella memoria non volatile della telecamera. Il bug apre la strada al controllo totale del sistema di videosorveglianza, con la possibilità di installare trojan, videosorveglianza nascosta o accedere ad altri segmenti di rete.

Ma non sono questi i punti deboli, secondo Kandar. Sostiene che la Smart TV sia il principale tallone d’Achille di qualsiasi infrastruttura moderna. Quasi tutti i modelli Android dispongono di un debug aperto tramite la porta ADB, che non è protetta da password o da un avviso. Queste TV sono ovunque: dalle sale conferenze ai reparti ospedalieri, dagli aeroporti alle sale server. Il controllo può essere assunto da remoto, e questa non è più una teoria: una dimostrazione pratica è disponibile pubblicamente su YouTube. Attraverso la TV, è possibile non solo accedere alla visualizzazione dello schermo, ma anche lanciare un attacco su larga scala all’intera rete locale.

Kandar, che ha al suo attivo 21 vulnerabilità CVE, traccia una linea inquietante: i dispositivi IoT non sono solo rischi, ma vettori di attacco attivi, invisibili e familiari. Molti di essi sono inizialmente considerati affidabili dal sistema, raramente ricevono aggiornamenti e il loro hackeraggio non desta sospetti finché non è troppo tardi.

Bitdefender, un’altra azienda di monitoraggio delle minacce, raccomanda di isolare completamente tutti i dispositivi IoT dalla rete principale, limitandone l’accesso tramite una VLAN o un router separato. È particolarmente importante eliminare qualsiasi accesso diretto a Internet. Anche le VPN, spesso utilizzate per l’accesso sicuro, possono diventare vulnerabili se non aggiornate e configurate correttamente. Come osserva CISA, la sicurezza delle VPN non è determinata tanto dalla crittografia, quanto dallo stato delle apparecchiature connesse.

La CISA non ha ancora registrato tentativi di sfruttamento delle nuove vulnerabilità ma ha emesso dei bollettini a riguardo. Ma è solo questione di tempo. L’agenzia chiede di limitare urgentemente la visibilità di rete di tutti i dispositivi industriali e IoT, eliminando l’accesso esterno e utilizzando metodi di comunicazione sicuri solo quando assolutamente necessario. Queste non sono raccomandazioni, ma istruzioni di sopravvivenza.

L'articolo Il tuo smart TV ti sta spiando? La mancata sicurezza e le vulnerabilità critiche nei dispositivi IoT proviene da il blog della sicurezza informatica.

Mentre l’Occidente combatte contro attacchi ransomware e le aziende private investono in sicurezza difensiva, dall’altra parte del fronte digitale la guerra si gioca in modo asimmetrico. Il 28 luglio 2025, la compagnia aerea nazionale russa Aeroflot è stata colpita da un massiccio cyberattacco rivendicato dai gruppi filo-ucraini Silent Crow e Cyberpartisans BY, provocando la cancellazione di voli, un impatto finanziario diretto in borsa e – secondo le fonti underground – la compromissione e distruzione di oltre 7.000 server interni.

Il colpo rappresenta una delle operazioni offensive più devastanti subite da infrastrutture critiche russe dall’inizio del conflitto con l’Ucraina.

La dinamica dell’attacco: un anno di persistenza e compromissione totale

Secondo quanto riportato dal canale Telegram Hackmanac Cyber News e da un post sul rinnovato BreachForums, l’operazione è durata oltre un anno, durante il quale gli attaccanti hanno mantenuto un accesso persistente nei sistemi di Aeroflot, fino al momento dell’attacco distruttivo.

Il risultato?

• La cancellazione completa di 7.000 server (fisici e virtuali)
• L’esfiltrazione di 22 terabyte di dati sensibili
• 54 voli cancellati solo il 28 luglio
• Disservizi informatici su vasta scala negli aeroporti russi

Ma i dati esfiltrati non riguardano solo la logistica di volo: si parla di storico dei voli, dispositivi dei dipendenti, mail aziendali, dati da server di intercettazione e file confidenziali del top management.

I gruppi coinvolti: hacktivismo ad alta intensità

Silent Crow è un gruppo relativamente nuovo ma molto attivo nel fronte filo-ucraino della guerra cibernetica. Ha già rivendicato attacchi a istituzioni governative russe, aziende IT, telco e assicurazioni.

In questa operazione ha agito in collaborazione con i Cyberpartisans BY, gruppo bielorusso noto per le azioni di sabotaggio contro il regime di Lukashenko. Il loro obiettivo dichiarato è

“liberare la Bielorussia e aiutare l’Ucraina nella sua lotta contro l’occupante”.

Approfondimento tecnico: cosa è stato compromesso davvero?

I dettagli tecnici pubblicati dagli attaccanti forniscono una fotografia allarmante dell’IT interno di Aeroflot, che si presenta come un sistema critico ma arretrato, scarsamente protetto e gestito con superficialità.

Infrastruttura compromessa:

• 122 hypervisor
• 43 ambienti ZVIRT (virtualizzazione russa)
• Circa 100 interfacce iLO per la gestione dei server fisici
• 4 cluster Proxmox
• Accesso completo a migliaia di VM

Sistemi aziendali violati:

Gli attaccanti hanno avuto accesso a praticamente tutti i sistemi core:

• Flight management (CREW, Sabre)
• ERP e CRM (1C, Sirax, SharePoint, KASUD)
• Posta elettronica aziendale (Exchange)
• Controllo delle perdite di dati (DLP)
• Sistemi di sorveglianza e wiretapping
• Dispositivi endpoint del personale, incluso il CEO

Dati raccolti:

• 12 TB di database (storico voli, manutenzione, passeggeri)
• 8 TB da file share di rete (cartelle interne)
• 2 TB da posta elettronica
• Audio da intercettazioni e comunicazioni interne
• Dati dei sistemi di monitoraggio del personale

Secondo The Moscow Times, parte dei sistemi critici utilizzavano ancora Windows XP, mentre il CEO non cambiava password da oltre tre anni.

Il messaggio lasciato dagli attaccanti

Nell’analisi pubblicata sul sito ufficiale dei CyberPartisans, è presente un report dettagliato dell’operazione contro Aeroflot, corredato da screenshot, log delle attività malevole e riferimenti incrociati ai sistemi compromessi. Tra i contenuti rilasciati figura anche il messaggio lasciato dagli attaccanti sui terminali compromessi, un chiaro segnale della natura psicologica e politica dell’attacco.

Il messaggio, scritto in una combinazione di russo, tedesco e inglese, recita:

Secondo le stesse fonti, questo messaggio è comparso su numerosi endpoint aziendali al momento della cancellazione dei server, dimostrando che l’operazione non si è limitata all’esfiltrazione dati, ma ha incluso anche una componente di defacement e guerra psicologica.

Conseguenze economiche e reputazionali

Il danno reputazionale è solo la punta dell’iceberg:

• Il titolo Aeroflot ha perso il 3.9% in borsa
• 54 voli cancellati solo il giorno dell’attacco
• Disservizi e ritardi nelle operazioni di volo e check-in
• Potenziale danno diplomatico in caso di rilascio pubblico dei 22 TB esfiltrati

Il Roskomnadzor ha dichiarato che al momento non ci sono evidenze di fuga di dati personali, ma Silent Crow ha minacciato la pubblicazione se non riceverà attenzione mediatica e politica.

L’attacco a Aeroflot non è un semplice incidente informatico. È un’operazione su larga scala che unisce spionaggio, sabotaggio e guerra psicologica. Il livello di compromissione ottenuto suggerisce non solo una falla nella sicurezza, ma una vera e propria bancarotta culturale nella gestione dell’IT interno.

Nel mezzo di una guerra ibrida in cui l’aviazione è simbolo e infrastruttura, colpire Aeroflot significa colpire l’identità e la mobilità della Russia stessa.

Ora resta solo da vedere: cosa conterranno quei 22 TB? E quanto a lungo il Cremlino riuscirà a tenerli fuori dall’occhio dell’opinione pubblica?

Fonti:

• Ars Technica – Attacco Aeroflot
• Reuters – Cyberattack contro Aeroflot
• The Record – Ritardi e disagi in Russia
• Radio Svoboda – Hacker contro Aeroflot
• The Moscow Times – Sistemi obsoleti e password mai cambiate

L'articolo 7.000 server cancellati! Silent Crow e Cyberpartisans BY devastano Aeroflot in un cyberblitz storico proviene da il blog della sicurezza informatica.

L’FBI ha e messo un avviso riguardo a una minaccia in rapida crescita proveniente da IRL Com, un sottogruppo del gruppo underground The Com che recluta attivamente adolescenti per commettere crimini reali. Non si tratta di minacce informatiche, ma di violenza diretta: attacchi a contratto, rapimenti, rapine a mano armata e swatting.

Secondo l’agenzia, i partecipanti a IRL Com, per lo più ragazzi adolescenti, si uniscono in gruppi chiusi basati su interessi o convinzioni e coordinano le loro azioni, incluso il reclutamento di nuovi partecipanti. La comunicazione tra loro avviene tramite messaggistica istantanea e social network e, se si rifiutano di collaborare o cercano di abbandonare il gioco, iniziano a fare pressione su chi non è d’accordo con loro con minacce o ricatti, fino a vere e proprie rappresaglie.

In questo caso, lo swatting non è solo un metodo di intimidazione, ma parte di un modello di business. False segnalazioni di attacchi armati o di ostaggi, che richiedono l’intervento delle forze speciali presso le abitazioni delle vittime, vengono utilizzate come strumento di pressione, per fare soldi e persino come sistema interno di punizione. Come sottolinea l’FBI, in questi gruppi, più l’incidente è rumoroso, maggiore è il prestigio del suo organizzatore. Alcuni leader ricorrono allo swatting per intimidire i propri partecipanti: in caso di disobbedienza, il bersaglio diventa la persona “disobbediente” o la sua famiglia.

In precedenza, la National Crime Agency del Regno Unito aveva emesso un avviso simile, affermando che The Com stava sempre più inducendo gli adolescenti a ricattare, frodare finanziariamente, distribuire malware e persino a commettere violenza contro altri minori.

A maggio, la polizia finlandese ha denunciato che The Com stava manipolando i minori per indurli a compiere azioni pericolose non solo per gli altri, ma anche per gli stessi autori. E il mese scorso, sette sospettati, tra cui un quattordicenne, sono stati arrestati in Danimarca. Secondo gli investigatori, avrebbero coordinato una serie di attacchi e omicidi su commissione utilizzando chat crittografate e un sistema di violenza a pagamento.

L’ultimo allarme dell’FBI arriva dopo che un’indagine congiunta con la polizia britannica ha portato all’arresto di tre giovani sospettati di aver organizzato attacchi di swatting con minacce di sparatorie di massa negli Stati Uniti e in Canada tra ottobre 2022 e aprile 2023.

Il gruppo Com rimane una rete tentacolare di hacke , estorsori, utilizzatori6 di SIM swapping ed estremisti. Tra i sottogruppi più noti c’è Scattered Spider , precedentemente collegato ad attacchi aziendali e ricatti. Ma nel caso di IRL Com, l’attività digitale si sta sempre più trasformando in violenza fisica, spesso coinvolgendo studenti. L’FBI esorta genitori, insegnanti e piattaforme a prestare particolare attenzione alle nuove forme di minaccia, in cui Internet è solo un trampolino di lancio per crimini offline.

L'articolo Ragazzi arruolati per omicidi e rapine: l’inquietante allerta dell’FBI sul gruppo IRL Com proviene da il blog della sicurezza informatica.

Negli ultimi anni, la cybersecurity ha visto emergere minacce sempre più sofisticate, capaci di compromettere dispositivi e dati personali senza che l’utente compia alcuna azione. Tra queste, i cosiddetti zero-click exploit rappresentano una delle forme di attacco più insidiose e difficili da rilevare. Questi exploit permettono agli hacker di prendere il controllo di un dispositivo semplicemente inviando un messaggio o interagendo con il sistema in modi invisibili all’utente.

A differenza degli attacchi tradizionali, che richiedono qualche tipo di interazione – come cliccare un link o aprire un allegato – i zero-click exploit sfruttano vulnerabilità nascoste all’interno di software o protocolli di comunicazione. Questo significa che anche senza alcuna consapevolezza o azione da parte della vittima, il malware o spyware può essere installato e attivato, con conseguenze potenzialmente gravissime sulla privacy e sicurezza.

In questo articolo analizzeremo come funzionano questi attacchi invisibili, i dispositivi più a rischio, e quali strategie di protezione adottare per difendersi efficacemente. Capire come agiscono i zero-click exploit è il primo passo per mettere in sicurezza i propri dati in un mondo sempre più connesso e vulnerabile.

Cosa sono gli zero-click exploit

Uno zero-click exploit è un tipo di attacco informatico che non richiede alcuna azione da parte della vittima per compromettere un dispositivo. A differenza dei classici attacchi phishing o malware, dove l’utente deve cliccare un link o aprire un file, in questo caso basta solo che il dispositivo riceva un messaggio o una comunicazione appositamente creata per attivare la vulnerabilità.

Questi exploit sfruttano bug di sicurezza nei software di sistema, nelle app di messaggistica o nei protocolli di comunicazione. Ad esempio, un messaggio di testo o una chiamata VoIP possono nascondere un codice malevolo che viene eseguito automaticamente. Questo rende gli zero-click exploit estremamente pericolosi, perché invisibili e difficili da rilevare da antivirus o sistemi di protezione tradizionali.

Per capire meglio, puoi approfondire cosa sono le vulnerabilità software e come funzionano gli exploit visitando risorse come il National Vulnerability Database (NVD) o leggere i report di sicurezza di aziende come Google Project Zero. La crescente sofisticazione degli zero-click exploit li rende una minaccia concreta per dispositivi mobili, computer e persino dispositivi IoT.

Meccanismi tecnici e vettori di attacco

Gli zero-click exploit sfruttano vulnerabilità tecniche complesse nei sistemi operativi e nelle applicazioni. Questi attacchi si basano sull’esecuzione automatica di codice malevolo appena il dispositivo riceve un input specifico, senza che l’utente debba interagire.

Un meccanismo comune è l’uso di buffer overflow, dove un codice dannoso supera la capacità di memoria prevista, permettendo all’attaccante di eseguire comandi arbitrari. Altri metodi includono l’iniezione di codice in protocolli di messaggistica come SMS, iMessage, o WhatsApp, che non richiedono l’apertura del messaggio per attivare l’exploit.

I vettori di attacco più diffusi sono i messaggi di testo, le chiamate VoIP e le notifiche push. Ad esempio, un exploit potrebbe attivarsi semplicemente ricevendo una chiamata che sfrutta una falla nel protocollo SIP, o un messaggio cifrato che contiene codice nascosto nel payload. Questi attacchi possono compromettere il dispositivo completamente, dando accesso a dati personali, microfono, fotocamera e molto altro.

Esempi reali: da Pegasus alle vulnerabilità zero-day

Uno degli esempi più famosi di zero-click exploit è il software spia Pegasus, sviluppato dalla società israeliana NSO Group. Pegasus ha sfruttato vulnerabilità zero-click per infiltrarsi in smartphone di attivisti, giornalisti e politici, senza che questi compissero alcuna azione. L’attacco veniva eseguito semplicemente tramite messaggi o chiamate, rendendo la sua individuazione molto difficile.

Le vulnerabilità zero-day sono falle di sicurezza ancora sconosciute ai produttori e prive di patch. Spesso queste falle vengono scoperte e sfruttate proprio attraverso exploit zero-click. Un esempio recente è stato il bug scoperto in iMessage che ha permesso l’installazione remota di spyware semplicemente ricevendo un messaggio. Apple ha rilasciato tempestivamente una patch per correggere il problema, ma nel frattempo molti dispositivi erano vulnerabili.

Altri casi noti includono exploit zero-click contro WhatsApp, dove una chiamata poteva infettare il dispositivo anche se non rispondeva. Nel 2019, questa vulnerabilità ha portato a un intervento urgente di aggiornamento da parte di WhatsApp per fermare gli attacchi di spyware altamente sofisticati.

Questi esempi evidenziano come gli zero-click exploit non siano solo teorie, ma minacce reali e attive che colpiscono milioni di dispositivi nel mondo. Gli attaccanti sfruttano queste tecniche per spiare, rubare dati o prendere il controllo totale di smartphone e computer senza lasciare tracce evidenti.

Infine, la difficoltà di rilevamento di questi attacchi li rende particolarmente pericolosi. Spesso le vittime non si accorgono di nulla fino a quando non è troppo tardi.

Perché sono così difficili da difendere

Gli zero-click exploit rappresentano una delle sfide più complesse per la sicurezza informatica. La loro difficoltà di difesa nasce principalmente dal fatto che non richiedono alcuna azione o interazione da parte dell’utente. Senza un clic, un’apertura di file o un consenso, i tradizionali sistemi di protezione basati sul comportamento dell’utente risultano inefficaci.

Un altro motivo è che questi exploit sfruttano vulnerabilità spesso sconosciute, chiamate zero-day, per le quali non esistono patch o aggiornamenti immediati. Gli hacker possono sfruttare queste falle prima che i produttori di software abbiano il tempo di intervenire, lasciando dispositivi e sistemi esposti per periodi più o meno lunghi.

Inoltre, i zero-click exploit utilizzano metodi altamente sofisticati per nascondersi. Il codice malevolo viene spesso integrato in messaggi o comunicazioni cifrate, rendendo difficile l’analisi da parte degli antivirus o degli strumenti di sicurezza tradizionali. Questa “invisibilità” permette agli attaccanti di operare indisturbati e di agire in modo mirato contro specifiche vittime.

La complessità tecnica di questi attacchi richiede soluzioni di difesa avanzate, come sistemi di rilevamento basati su intelligenza artificiale e monitoraggio continuo del comportamento del dispositivo. Tuttavia, anche queste tecnologie non garantiscono una protezione totale, soprattutto se le vulnerabilità sono sconosciute o appena scoperte.

Infine, la rapidità con cui vengono sviluppati e utilizzati nuovi zero-click exploit rende difficile per le aziende di sicurezza e per gli utenti tenere il passo. La prevenzione, quindi, passa anche da un aggiornamento costante dei dispositivi, da una configurazione attenta delle applicazioni e da una consapevolezza elevata sulle minacce emergenti.

Il mercato nero degli zero-click exploit

Gli exploit zero-click zero-day non sono solo strumenti usati dagli hacker, ma vere e proprie merci scambiate in un mercato sotterraneo dai valori altissimi. Aziende come Zerodiumhanno costruito un business sulla compravendita di vulnerabilità sconosciute, offrendo ricompense che possono arrivare anche a milioni di dollari per singolo exploit funzionante.

I prezzi di questi exploit sono così alti perché sfruttano falle ignote e difficili da individuare. Ad esempio, Zerodium ha offerto cifre superiori al milione di dollari per vulnerabilità zero-click su sistemi operativi come iOS e Android, considerate le più preziose perché permettono di compromettere un dispositivo senza alcuna interazione da parte dell’utente.

Questi exploit non vengono solo usati da criminali informatici. Spesso finiscono nelle mani di aziende che sviluppano spyware sofisticati, come NSO Group, che sviluppano sistemi di sorveglianza che finisco nelle mani di governi che vogliono sorvegliare persone considerate “di interesse”. È un mercato legale in alcuni paesi, ma eticamente controverso perché permette attività di spionaggio che possono violare diritti fondamentali.

Il valore degli exploit zero-click zero-day nasce anche da un motivo più profondo: l’informazione è potere. Chi possiede un exploit di questo tipo può accedere a dati riservati, conversazioni private e segreti industriali. In un’epoca in cui la privacy e la sicurezza dei dati sono sempre più centrali, questa possibilità diventa inestimabile.

Alla base di tutto c’è un equilibrio fragile tra ricerca sulla sicurezza, interesse economico e rischi per i diritti civili. Finché esisterà un mercato disposto a pagare così tanto per queste vulnerabilità, gli exploit zero-click zero-day continueranno a essere sviluppati, venduti e usati, alimentando una corsa senza fine tra chi attacca e chi difende.

Verso un futuro di cybersicurezza proattiva

La crescente diffusione degli zero-click exploit impone un cambiamento radicale nel modo di affrontare la sicurezza informatica. Il modello tradizionale, basato principalmente sulla reazione agli attacchi, non è più sufficiente. Serve una strategia proattiva che anticipi le minacce prima che possano colpire. Ma il problema è: come poter anticipare una minaccia sconosciuta?

Le tecnologie basate sull’intelligenza artificiale e sull’apprendimento automatico stanno diventando sempre più centrali nella difesa contro attacchi invisibili come gli zero-click exploit. Questi sistemi analizzano continuamente il comportamento dei dispositivi e delle reti, individuando anomalie sospette anche in assenza di segnali evidenti di attacco.

Un altro elemento chiave è la collaborazione tra aziende di sicurezza, governi e sviluppatori di software. La condivisione tempestiva delle informazioni sulle vulnerabilità e sugli exploit permette di creare contromisure più rapide ed efficaci, riducendo il tempo in cui i dispositivi restano esposti.

Anche la formazione degli utenti rimane un pilastro fondamentale, anche se gli zero-click exploit non richiedono azioni dirette da parte delle vittime. Essere consapevoli delle minacce, mantenere aggiornati i dispositivi e adottare buone pratiche di sicurezza aiutano a minimizzare i rischi complessivi.

Infine, il futuro della cybersicurezza richiederà un approccio integrato, che combini tecnologie avanzate, policy di sicurezza rigorose e una cultura della sicurezza diffusa. Solo così sarà possibile proteggere efficacemente dati, dispositivi e privacy in un mondo sempre più connesso e vulnerabile.

L'articolo Zero-click exploit: la nuova frontiera invisibile degli attacchi informatici proviene da il blog della sicurezza informatica.