Il gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei trasporti e delle assicurazioni. Questi attacchi non sfruttano le vulnerabilità software tradizionali, ma dimostrano invece una padronanza di tecniche di ingegneria sociale che consentono loro di bypassare anche i sistemi più sicuri.

Secondo il Google Threat Intelligence Group, la fase iniziale dell’attacco si basa sull’impersonare un dipendente aziendale in una conversazione con il servizio di supporto IT. L’aggressore riesce a modificare la password dell’utente in Active Directory, ottenendo così l’accesso iniziale alla rete interna. Successivamente, inizia la ricerca di preziosa documentazione tecnica e di account chiave, principalmente amministratori di dominio e dell’ambiente VMware vSphere, nonché membri di gruppi con diritti estesi.

Parallelamente, viene eseguita la scansione per rilevare la presenza di soluzioni di classe PAM (Privileged Access Management) che possono contenere dati sensibili e contribuire all’ulteriore avanzamento dell’infrastruttura. Dopo aver ottenuto i nomi degli utenti privilegiati, gli aggressori effettuano ripetute chiamate, fingendosi amministratori, e avviano nuovamente la reimpostazione della password, ma questa volta per impossessarsi dell’accesso privilegiato.

Il passo successivo consiste nell’ottenere il controllo del server di gestione dell’ambiente virtuale (vCSA) VMware vCenter, che gestisce l’intera architettura ESXi e le macchine virtuali sugli host fisici. Ottenuto questo livello di accesso, gli aggressori abilitano SSH sugli host ESXi, reimpostano le password di root e procedono a condurre un cosiddetto attacco di sostituzione del disco virtuale.

La tecnica prevede la chiusura di un controller di dominio, lo scollegamento del suo disco virtuale e il suo collegamento a un’altra macchina virtuale controllata. Lì, gli hacker copiano il file NTDS.dit, ovvero il database di Active Directory con hash delle password, quindi restituiscono il disco e accendono la macchina originale. Questo approccio consente di estrarre dati critici senza destare sospetti a livello di evento del sistema operativo.

Con il pieno controllo sulla virtualizzazione, gli aggressori ottengono anche l’accesso ai sistemi di backup. Cancellano le pianificazioni, eliminano gli snapshot e distruggono gli archivi di backup. La fase finale dell’attacco consiste nell’implementazione di crittografi tramite connessioni SSH su tutte le macchine virtuali presenti negli archivi. Il risultato è la crittografia di massa dei dati e la completa perdita di controllo da parte dell’organizzazione.

Google descrive l’architettura dell’attacco in cinque fasi: dall’ingegneria sociale alla presa di controllo dell’intera infrastruttura ESXi. In pratica, l’intera catena, dalla prima chiamata al supporto fino all’implementazione del ransomware, può richiedere solo poche ore. In particolare, questi attacchi non sfruttanoexploit di vulnerabilità, ma la loro efficacia è così elevata che gli hacker riescono a bypassare la maggior parte delle protezioni integrate.

Un approccio simile era già stato utilizzato da Scattered Spider durante l’incidente di alto profilo che ha coinvolto MGM Resorts nel 2023. Oggi, sempre più gruppi stanno adottando queste tattiche. Uno dei motivi è la scarsa conoscenza delle infrastrutture VMware da parte di molte organizzazioni e, di conseguenza, un livello di protezione insufficiente.

Per mitigare il rischio, Google ha pubblicato una guida tecnica incentrata su tre aree principali:

• Il primo metodo consiste nel rafforzare vSphere abilitando l’opzione execInstalledOnly, crittografando le VM, disabilitando SSH, rimuovendo le VM orfane e applicando l’autenticazione a più fattori.
• In secondo luogo, isolare le risorse critiche: controller di dominio, sistemi PAM e storage di backup. Non dovrebbero trovarsi sugli stessi host dell’infrastruttura che proteggono.
• Terzo, monitoraggio: impostazione della registrazione centralizzata, impostazione di avvisi per azioni sospette (ad esempio abilitazione di SSH, accesso a vCenter, modifica dei gruppi di amministratori), nonché utilizzo di backup immutabili con air gap e test regolari di ripristino da attacchi al sistema di virtualizzazione.

Il gruppo Scattered Spider, noto anche come UNC3944, Octo Tempest o 0ktapus, è uno dei più pericolosi al mondo . Si distingue per la sua capacità di attuare una sottile imitazione sociale: gli aggressori non si limitano a copiare i modelli linguistici dei dipendenti, ma ne riproducono anche la pronuncia, il vocabolario e il modo di comunicare. Nonostante i recenti arresti di quattro presunti membri nel Regno Unito, l’attività del gruppo non si è fermata. Anzi, negli ultimi mesi, i suoi attacchi sono diventati sempre più audaci e su larga scala.

L'articolo Obiettivo: La tua Voce! Scattered Spider mira ai VMware ESXi clonando le voci degli impiegati proviene da il blog della sicurezza informatica.

IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and this is my current state of mind as the "summer lull" keeps on throwing up major event after major event. Pace yourself, people.

— The European Union and the United States agreed to a tariff deal. Almost none of it will affect the digital sector, so expect further tension ahead.

— The US and China put out separate visions for global AI governance. The differences will force countries to pick one side or the other.

— Energy consumption related to artificial intelligence, data centers and cryptocurrencies is expected to double between 2022-2026.

Let's get started:

digitalpolitics.co/newsletter0…

After more than forty years, everyone knows that it’s time to retire the X Window System – X11 for short – on account of it being old and decrepit. Or at least that’s what the common narrative is, because if you dig into the chatter surrounding the ongoing transition there are some real issues that people have with the 16-year old spring chicken – called Wayland – that’s supposed to replace it.

Recently [Brodie Robertson] did some polling and soliciting commentary from the community, breaking down the results from over 1,150 comments to the YouTube community post alone.

The issues range from the expected, such as applications that haven’t been ported yet from X11 to Wayland, to compatibility issues – such as failing drag and drop – when running X11 and Wayland applications side by side. Things get worse when support for older hardware, like GeForce GT610 and GT710 GPUs, and increased resource usage by Wayland are considered.

From there it continues with the lack of global hotkeys in Wayland, graphics tablet support issues, OBS not supporting embedded browser windows, Japanese and other foreign as well as onscreen keyboard support issues that are somehow worse than on X11, no support for overscanning monitors or multiple mouse cursors, no multi-monitor fullscreen option, regressions with accessibility, inability of applications to set their (previously saved) window position, no real automation alternative for xdotool, lacking BSD support and worse input latency with gaming.

Some users also simply say that they do not care about Wayland either way as it offers no new features they want. Finally [Brodie] raises the issue of the Wayland developers not simply following standards set by the Windows and MacOS desktops, something which among other issues has been a point of hotly debated contention for years.

Even if Wayland does end up succeeding X11, the one point that many people seem to agree on is that just because X11 is pretty terrible right now, this doesn’t automatically make Wayland the better option. Maybe in hindsight Mir was the better choice we had before it pivoted to Wayland.

youtube.com/embed/yURfsJDOw1E?…

hackaday.com/2025/07/28/waylan…

Telegram ha introdotto un bot ufficiale progettato per verificare l’età degli utenti scansionando i loro volti. Come sottolineato da Code Durov, la funzione è disponibile nel Regno Unito, dove la legislazione richiede alle piattaforme online di confermare se l’utente ha raggiunto la maggiore età. Per accedere ai contenuti per adulti è richiesta la verifica. La descrizione del bot recita: “Nessuna immagine o dato lascerà mai il tuo dispositivo o raggiungerà i nostri server”.

I nuovi requisiti sono entrati in vigore nel Regno Unito il 25 luglio. Da quel giorno, le autorità hanno obbligato i servizi online a proteggere il pubblico più giovane da contenuti dannosi, tra cui risorse contenenti informazioni su autolesionismo, suicidio, disturbi alimentari e siti pornografici. Le modifiche alla legislazione mirano anche a proteggere i minori da bullismo, propaganda e materiali offensivi online.

Le piattaforme che pubblicano contenuti “per adulti” sono ora tenute a verificare l’età del loro pubblico. La mancata conformità può comportare una multa fino a 18 milioni di sterline o fino al 10% del fatturato annuo dell’azienda. La verifica dell’età deve essere effettuata utilizzando la tecnologia di riconoscimento facciale o altri metodi affidabili, come il controllo della carta di credito.

Secondo la BBC, circa 6.000 siti porno hanno già iniziato a effettuare tali controlli. Misure simili vengono introdotte anche da altre piattaforme, tra cui Reddit, Discord e app di incontri.

Già in passato avevamo raccontato come piattaforme come PornHub e YouPorn si siano mosse in anticipo per adeguarsi a queste nuove normative, introducendo sistemi di verifica dell’età per tutelarsi da sanzioni milionarie.

Telegram, però, rappresenta un caso particolare: oltre a essere usato da milioni di utenti per messaggistica tradizionale, ospita anche numerosi canali pornografici gestiti da creator che vendono la propria immagine direttamente all’interno del social. Questo rende la questione ancora più delicata, perché parliamo di una piattaforma che ha un’enorme popolarità e che, fino a oggi, non aveva mai adottato un sistema ufficiale di controllo per contenuti per adulti.

Il debutto del nuovo bot ufficiale per la verifica dell’età è quindi un segnale importante: Telegram tenta di adeguarsi a una normativa sempre più stringente, ma resta da capire se queste misure saranno davvero sufficienti a regolamentare un fenomeno così vasto e difficile da controllare.

L'articolo PornHub, YouPorn si adeguano alle leggi UK… e Telegram introduce il bot per correre ai ripari proviene da il blog della sicurezza informatica.

La compromissione di una libreria JavaScript ampiamente utilizzata ha messo a rischio milioni di progetti in tutto il mondo. Il pacchetto in questione è un componente fondamentale, ma passato inosservato, dell’ecosistema Node.js per anni. È proprio questa utility leggera per il controllo dei tipi e la convalida dei valori ad essere diventata l’ultima vittima di un attacco alla supply chain, e questa volta le conseguenze sono particolarmente devastanti.

L’incidente è iniziato con una campagna di phishing in cui gli aggressori hanno rubato le credenziali degli sviluppatori per pubblicare pacchetti su NPM. Dopo aver ottenuto l’accesso, hanno silenziosamente cambiato i proprietari del progetto e pubblicato versioni dannose della libreria, dalla 3.3.1 alla 5.0.0. Secondo John Harband, il principale responsabile della manutenzione, le build infette sono rimaste pubblicamente disponibili per circa sei ore, durante le quali avrebbero potuto essere scaricate da migliaia di sviluppatori.

La portata della distribuzione è particolarmente allarmante: “is” viene utilizzato in un’ampia gamma di progetti, dai sistemi di compilazione e strumenti CLI alle librerie di test. Secondo NPM, il pacchetto viene scaricato più di 2,8 milioni di volte a settimana. Gli aggiornamenti automatici e l’assenza di blocchi di versione (lockfile) hanno aumentato significativamente le probabilità di infezione dei progetti finali, soprattutto nei grandi ecosistemi.

L’analisi di Socket ha dimostrato che il codice dannoso in “is” era un generico loader JavaScript. Avviava una connessione WebSocket inversa, raccoglieva dati di sistema (nome host, tipo di sistema operativo, architettura della CPU e tutte le variabili d’ambiente) e li inviava tramite una libreria ws importata dinamicamente. Ogni messaggio in arrivo tramite il socket veniva eseguito come codice JavaScript, consentendo di fatto all’aggressore di accedere in remoto al dispositivo.

Contemporaneamente, altri pacchetti hackerati nella stessa campagna distribuivano un malware incentrato su Windows chiamato Scavanger. Questo spyware raccoglieva le password salvate dai browser e manteneva una comunicazione segreta con il server di comando e controllo. Le sue tecniche di elusione includevano l’uso di chiamate di sistema indirette e canali C2 crittografati. Tuttavia, in alcuni casi, Scavanger poteva attivare avvisi da Chrome a causa di tentativi di manipolarne i flag di sicurezza.

L’elenco dei pacchetti interessati, oltre a “is”, include: eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall e got-fetch. Tutti hanno ricevuto aggiornamenti dannosi tra il 18 e il 19 luglio 2025, a indicare un attacco coordinato con uno script preimpostato. Il fulcro della campagna di phishing era il dominio fittizio npnjs[.]com, che gli aggressori hanno utilizzato per indurre gli sviluppatori legittimi a fornire credenziali di accesso e token.

Gli esperti avvertono che l’attacco potrebbe non limitarsi ai casi già noti: gli aggressori hanno probabilmente ottenuto l’accesso ad altre credenziali e potrebbero presto iniziare a distribuire nuove build dannose. Si consiglia vivamente agli sviluppatori di reimpostare immediatamente password e token, disabilitare gli aggiornamenti automatici delle dipendenze, utilizzare file di blocco e congelare temporaneamente le versioni di tutte le librerie pubblicate dopo il 18 luglio.

L’incidente “is” è un’ulteriore conferma della fragilità del modello di fiducia che sostiene l’intero ecosistema open source. Un singolo pacchetto non rilevato può aprire una porta secondaria in migliaia di sistemi aziendali e consumer, e nessuno se ne accorgerà finché non sarà troppo tardi.

L'articolo Attacco alla supply chain: milioni di progetti a rischio per la violazione di una libreria JavaScript proviene da il blog della sicurezza informatica.