Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd delkernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i massimi privilegi di sistema. La vulnerabilità, identificata come CVE-2025-38561 ed interessa tutte le distribuzioni che utilizzano il server SMB integrato basato su ksmbd.

L’arresto anomalo era correlato alla gestione del campo Preauth_HashValue durante la creazione della sessione SMB2. Gli sviluppatori hanno commesso un errore di sincronizzazione dei thread: la mancanza di un blocco di accesso alla memoria creava una race condition quando più processi modificavano simultaneamente lo stesso oggetto. Ciò causava corruzione della memoria e cambio di thread, aprendo la strada all’esecuzione di codice arbitrario nello spazio kernel.

Per sfruttare questa vulnerabilità, un aggressore necessita di credenziali valide, ma ciò non riduce la gravità del rischio. Molte organizzazioni forniscono l’accesso ai servizi SMB sia su reti interne che esterne, il che significa che gli account possono essere dirottati o riutilizzati. Un attacco riuscito fornisce il controllo completo del sistema, inclusa la possibilità di installare malware e disabilitare l’infrastruttura.

La vulnerabilità è stata segnalata privatamente il 22 luglio 2025 e divulgata pubblicamente il 24 settembre, in seguito alla pubblicazione delle raccomandazioni del caso. Il problema ha ricevuto un punteggio CVSS di 8,5, che tiene conto del vettore di rete, del basso livello di privilegi richiesti e della mancanza di interazione da parte dell’utente.

La correzione è già inclusa nelle attuali versioni del kernel Linux: sono stati aggiunti meccanismi di blocco corretti per prevenire condizioni di competizione quando si utilizza Preauth_HashValue. Si consiglia agli amministratori di:

• identificare i nodi che eseguono versioni vulnerabili del kernel;
• installare immediatamente gli ultimi aggiornamenti dal ramo stabile o dai provider di distribuzione;
• riavviare le macchine per attivare le correzioni;
• Rivedere le regole per l’accesso ai servizi SMB e, se necessario, limitarle tramite la segmentazione della rete.

Si precisa che non esistono soluzioni temporanee o alternative: l’unico modo per risolvere il problema è aggiornare il kernel. Gli utenti di distribuzioni con supporto a lungo termine dovrebbero monitorare il proprio fornitore per verificare la disponibilità di aggiornamenti di sicurezza.

Nicholas Zubrisky ha già ricevuto riconoscimenti per la sua divulgazione responsabile della vulnerabilità e la comunità Linux sottolinea che una risposta tempestiva da parte dell’amministratore è fondamentale per proteggere gli ambienti aziendali e i server di archiviazione.

L'articolo Linux balla la samba… ma cade in una race condition. Una falla critica minaccia il kernel proviene da il blog della sicurezza informatica.

Secondo Google Threat Intelligence, il gruppo di spionaggio UNC5221, legato alla Cina, ha effettuato una serie di intrusioni con successo nelle reti aziendali da marzo di quest’anno, sfruttando vulnerabilità precedentemente sconosciute nei prodotti Ivanti.

Gli attacchi hanno portato all’introduzione di backdoor che hanno permesso agli aggressori di mantenere l’accesso all’infrastruttura delle vittime per una media di 393 giorni.

Gli esperti hanno attribuito le azioni al gruppo UNC5221 e ad altri gruppi cinesi di cyberspionaggio correlati. Secondo il rapporto, UNC5221 ha iniziato a sfruttare attivamente le vulnerabilità nei dispositivi Ivanti già nel 2023. Google sottolinea che questo gruppo non è associato a Silk Typhoon (ex Hafnium), sospettato di aver hackerato il Dipartimento del Tesoro degli Stati Uniti a dicembre.

Si tratta di un gruppo APT motivato finanziariamente (FIN) o sponsorizzato dallo Stato, sebbene l’origine di UNC5221 indichi chiaramente il sostegno statale. Dalla primavera del 2025, gli esperti di Mandiant hanno risposto a incidenti legati a questo gruppo in un’ampia gamma di settori, dagli studi legali ai provider SaaS e alle società di outsourcing aziendale. Nella maggior parte dei casi, gli aggressori hanno utilizzato una backdoor appositamente sviluppata, BRICKSTORM, impiantata in dispositivi che non supportano i metodi di rilevamento tradizionali (EDR).

Ciò ha permesso agli aggressori di passare inosservati: i sistemi di sicurezza delle organizzazioni semplicemente non hanno rilevato l’attività dannosa. Per aiutare a identificare le infezioni, Google ha pubblicato uno strumento di scansione gratuito che non richiede l’installazione di YARA ed è adatto ai sistemi basati su Linux e BSD.

Cerca firme e pattern univoci nel codice caratteristici di BRICKSTORM. I rappresentanti di Mandiant sottolineano che il numero di infezioni potrebbe diventare significativo una volta che le organizzazioni inizieranno a scansionare i propri dispositivi in massa: si prevede che gli effetti di questa campagna si manifesteranno nel corso dei prossimi uno o due anni.

In almeno un caso, gli hacker statali hanno ottenuto l’accesso a Ivanti Connect Secure tramite una vulnerabilità zero-day. Sebbene Google non abbia specificato la vulnerabilità specifica, i ricercatori avevano precedentemente collegato UNC5221 allo sfruttamento attivo di CVE-2023-46805 e CVE-2024-21887 , entrambe divulgate pubblicamente solo a gennaio 2024.

Dopo essere penetrati nella rete, gli aggressori hanno installato BRICKSTORM, un malware scritto in Go e dotato di funzionalità proxy (SOCKS). Sebbene venga menzionata una versione per Windows , gli esperti di Mandiant non l’hanno osservata direttamente; le prove della presenza di questa modifica sono indirette. Infatti, il malware è stato rilevato su dispositivi Linux e BSD, inclusi dispositivi di rete di vari produttori.

UNC5221 attacca regolarmente i server VMware vCenter e gli host ESXi, spesso partendo dai dispositivi edge e utilizzando poi credenziali rubate per penetrare più a fondo nella rete. In un attacco, BRICKSTORM è stato introdotto in vCenter dopo l’inizio delle indagini sull’incidente, dimostrando la capacità dell’avversario di adattarsi in tempo reale e monitorare le azioni dei difensori. Il malware è stato anche modificato, utilizzando strumenti di offuscamento Garble, librerie wssoft personalizzate e, in un caso, un timer per ritardare l’attività fino a una data specifica.

Inoltre, in diversi casi, gli hacker hanno utilizzato un malware aggiuntivo: BRICKSTEAL, un filtro Java Servlet dannoso per Apache Tomcat che viene eseguito all’interno dell’interfaccia web di vCenter. Intercetta le intestazioni HTTP Basic Auth, estraendo dati di accesso e password, incluse le credenziali di dominio se l’organizzazione utilizza Active Directory. L’installazione di un filtro richiede in genere modifiche alla configurazione e il riavvio del server, ma in questo caso gli aggressori hanno utilizzato uno speciale dropper che ha iniettato codice in memoria senza riavviare il server, migliorando ulteriormente la furtività.

Nell’ambito degli attacchi, gli aggressori hanno anche ottenuto l’accesso alle caselle di posta di dipendenti chiave: sviluppatori, amministratori di sistema e altri specialisti le cui attività potrebbero essere di interesse per gli interessi economici o di intelligence cinesi. Per farlo, hanno sfruttato le applicazioni aziendali Microsoft Entra ID con privilegi mail.read o full_access_as_app, consentendo l’accesso a qualsiasi e-mail all’interno dell’organizzazione.

L'articolo Hanno dormito nelle reti per 393 giorni! Gli hacker statali cinesi e la backdoor BRICKSTORM proviene da il blog della sicurezza informatica.

Nell’udienza alla rivista dei Gesuiti, Leone XIV si sofferma sul ruolo della comunicazione nella complessità della società di oggi, sottolineando l’impegno ad educare i lettori perchè siano più consapevoli anche nel cambiare il mondo. Il Papa raccomanda poi di farsi voce degli ultimi e annunciatori di speranza perchè il buon giornalismo aderisce al Vangelo.

Leggi la notizia sul sito di Vatican News

The post Il Papa a Civiltà Cattolica: cercate e comunicate lo sguardo di Cristo sul mondo first appeared on La Civiltà Cattolica.

Giovedì 25 settembre 2025, papa Leone XIV ha ricevuto in udienza, nella biblioteca privata del Palazzo Apostolico, p. Arturo Sosa S.I., Preposito generale della Compagnia di Gesù, e p. Nuno da Silva Gonçalves S.I., direttore de «La Civiltà Cattolica». Dopo questo colloquio, presso l’Aula del Concistoro, il Pontefice ha incontrato il Collegio degli scrittori insieme agli altri padri della comunità dei gesuiti, alla comunità delle suore e ai collaboratori della rivista e della comunità. Per l’occasione, il Collegio degli scrittori ha voluto donare al Santo Padre una raccolta di scritti su Sant’Agostino apparsi negli ultimi settant’anni sulla rivista.

Di seguito il messaggio di papa Leone XIV, le immagini e il video integrale dell’udienza.

* * *

Nel nome del Padre, del Figlio e dello Spirito Santo. La pace sia con voi!
Buongiorno e grazie per la pazienza!

A pochi mesi dall’inizio del Pontificato, sono contento di accogliere voi, membri del Collegio degli scrittori e collaboratori della rivista “La Civiltà Cattolica”. Saluto il Preposito Generale, che gentilmente ci accompagna in questa udienza.

Questo incontro si svolge nel 175° anniversario della fondazione de “La Civiltà Cattolica”. Colgo dunque l’occasione per ringraziare tutti voi per il servizio così fedele e generoso che per tanti anni avete prestato alla Sede Apostolica. Il vostro lavoro ha contribuito – e continua a farlo – a rendere la Chiesa presente nel mondo della cultura, in sintonia con gli insegnamenti del Papa e con gli orientamenti della Santa Sede.

Qualcuno ha definito la vostra rivista “una finestra sul mondo”, apprezzandone l’apertura, e davvero una sua caratteristica è quella di sapersi accostare all’attualità senza temere di affrontarne le sfide e le contraddizioni.

Potremmo individuare tre aree significative del vostro operato su cui soffermarci: educare le persone a un impegno intelligente e fattivo nel mondo, farsi voce degli ultimi, essere annunciatori di speranza.

Circa il primo aspetto, ciò che scrivete può aiutare i vostri lettori a comprendere meglio la società complessa in cui viviamo, valutandone potenzialità e debolezze, nella ricerca di quei “segni dei tempi” alla cui attenzione ci ha richiamato il Concilio Vaticano II (cfr Cost. past. Gaudium et spes, 4). E ciò li metterà in grado di dare apporti validi, anche a livello politico, su temi fondamentali come l’equità sociale, la famiglia, l’istruzione, le nuove sfide tecnologiche, la pace. Con i vostri articoli, voi potete offrire a chi legge strumenti ermeneutici e criteri d’azione utili, perché ognuno possa contribuire alla costruzione di un mondo più giusto e fraterno, nella verità e nella libertà. Come diceva San Giovanni Paolo II, il «ruolo della Chiesa, che voi siete chiamati ad amplificare e diffondere, è quello di proclamare il vangelo della carità e della pace, promuovendo la giustizia, lo spirito di fraternità e la consapevolezza del destino comune degli uomini, premesse indispensabili per la costruzione dell’autentica pace tra i popoli» (Discorso alla comunità della rivista “La Civiltà Cattolica”, 22 aprile 1999, 4).

Questo ci porta al secondo punto: farsi voce dei più poveri e degli esclusi. Papa Francesco ha scritto che, nell’annuncio del Vangelo, «c’è un segno che non deve mai mancare: l’opzione per gli ultimi, per quelli che la società scarta e getta via» (Esort. ap. Evangelii gaudium, 24 novembre 2013, 195). Farsi voce dei piccoli è dunque un aspetto fondamentale della vita e della missione di ogni cristiano. Esso richiede prima di tutto una grande e umile capacità di ascoltare, di stare vicino a chi soffre, per riconoscere nel suo grido silenzioso quello del Crocifisso che dice: «Ho sete» (Gv 19,28). Solo così è possibile farsi eco fedele e profetica della voce di chi è nel bisogno, spezzando ogni cerchio di isolamento, di solitudine e di sordità.

E veniamo al terzo punto: essere messaggeri di speranza. Si tratta di opporsi all’indifferentismo di chi rimane insensibile agli altri e al loro legittimo bisogno di futuro, come pure di vincere la delusione di chi non crede più nella possibilità di intraprendere nuove vie, ma soprattutto di ricordare e annunciare che per noi la speranza ultima è Cristo, nostra via (cfr Gv 14,6). In Lui e con Lui, sul nostro cammino non ci sono più vicoli ciechi, né realtà che, per quanto dure e complicate, possano fermarci e impedirci di amare con fiducia Dio e i fratelli. Come ha scritto Benedetto XVI, al di là di successi e fallimenti, io so che «la mia vita personale e la storia nel suo insieme sono custodite nel potere indistruttibile dell’Amore» (Lett. enc. Spe salvi, 35), e perciò trovo ancora e sempre il coraggio di operare e di proseguire (cfr ibid.). È un messaggio importante questo, specialmente in un mondo sempre più ripiegato su sé stesso.
© Vatican Media © Vatican Media © Vatican Media P. Nuno Gonçalves S.I., direttore de La Civiltà Cattolica, dona una copia del libro «Agostino» a papa Leone XIV (© Vatican Media)

Carissimi, concludendo vorrei ancora ricordare le parole che Papa Francesco vi ha indirizzato, poco prima di lasciarci, in occasione dell’inizio ufficiale del vostro “giubileo di fondazione”: «Vi incoraggio – scriveva – a proseguire nel vostro lavoro con gioia, mediante il buon giornalismo, che non aderisce ad altro schieramento se non a quello del Vangelo, ascoltando tutte le voci e incarnando quella docile mitezza che fa bene al cuore» (Messaggio al direttore de “La Civiltà Cattolica” nel 175° di pubblicazione, 17 marzo 2025: “L’Osservatore Romano”, 2 aprile 2025, p. 5).

E in un’altra occasione disse, riferendosi al nome del vostro periodico: «Una rivista è davvero “cattolica” solo se possiede lo sguardo di Cristo sul mondo, e se lo trasmette e lo testimonia» (Discorso alla comunità de “La civiltà cattolica”, 9 febbraio 2017). Ecco la vostra missione: cogliere lo sguardo di Cristo sul mondo, coltivarlo, comunicarlo, testimoniarlo. Condividendo appieno le parole del mio compianto Predecessore, di nuovo vi ringrazio, vi assicuro il mio ricordo nella preghiera e vi benedico di cuore. Grazie!

* * *

Il video integrale dell’udienza:

youtube.com/embed/uOSQfdNWoHY?…

The post Papa Leone XIV incontra La Civiltà Cattolica first appeared on La Civiltà Cattolica.

Oh, Radio Shack. What a beautiful place you once were, a commercial haven for those seeking RC cars, resistors, and universal remotes. Then, the downfall, as you veered away from your origins, only to lead to an ultimate collapse. More recently, the brand was supposed to return to new heights online… only to fall afoul of the Securities and Exchange Commission. (via Yahoo Finance, Bloomberg)

The Radio Shack brand was picked up a few years ago by a company known as Retail Ecommerce Ventures (REV). The company’s modus operandi was to take well-known but beleaguered brands and relaunch them as online-only operations. Beyond Radio Shack, REV also owned a number of other notable brand names, like Pier 1, Modell’s Sporting Goods, and Dress Barn.

Unfortunately, the Radio Shack rebirth probably won’t reach the stellar heights of the past. Namely, because REV has been accused of operating a Ponzi-like scheme by the SEC. Despite huge boasts allegedly made to investors, none of REV’s portfolio of brands were actually making profits, and the SEC has charged that the company was paying investor returns with cash raised from other investors — unsustainable, and a major no-no, legally speaking.

We were cautiously optimistic when we heard about the REV buyout back in 2020, but at this point, it’s probably best to come to terms with the fact that Radio Shack won’t be coming back. The name will linger in our hearts for some time to come, but the business we knew is long gone. Sometimes it’s better to look to the future than to try and recreate the magic of the past, especially if you’re doing inappropriate things with other people’s money in the process.

hackaday.com/2025/09/25/radio-…

Il racconto di Cinzia Fornero e Roberta Pelletta, che l’hanno accompagnato in auto: “Una tortura”. Sono 50 le persone coinvolte nella disobbedienza civile attraverso l’associazione di Marco Cappato

Almeno 6 le richieste di accesso al “suicidio assistito” in Liguria

La conferenza stampa dell’Associazione Luca Coscioni, tenutasi oggi a Genova, ha fatto il punto sui casi di disobbedienza civile seguiti da Soccorso Civile, l’associazione fondata da Marco Cappato per offrire supporto a chi intende esercitare il diritto alla morte volontaria assistita. L’incontro segue la morte di Fabrizio, 79enne ligure, accompagnato in Svizzera da due volontarie di Soccorso Civile, costretto dall’inerzia della politica a rivolgersi all’estero per porre fine a sofferenze insopportabili dovute a una malattia neurodegenerativa irreversibile.

“Dieci ore e mezza di viaggio sono state una tortura imposta a Fabrizio. È stato un viaggio lunghissimo e faticoso. Era convinto di questa scelta, non vedo perché debba essere impedito. Serve una legge civile. Fabrizio ha potuto permettersi questo viaggio in Svizzera per liberare sé stesso dal suo corpo che chiaramente era diventato una prigione. Ci sono tante persone che questi soldi non li hanno e questo è uno dei motivi anche per cui io faccio questi accompagnamenti,” ha raccontato Cinzia Fornero, volontaria di Soccorso Civile che ha accompagnato Fabrizio in Svizzera.

↓ LA VIDEO TESTIMONIANZA DI CINZIA FORNERO↓

youtube.com/embed/c2Fpw2I9hJM?…

. Con lei c’era anche un’altra volontaria, Roberta Pelletta: “È inammissibile che una persona in quelle condizioni debba essere costretta a fare 500 km per ottenere un suo diritto. Per tutto il viaggio ho provato rabbia e vergogna. ‘Sto andando verso la mia liberazione’, ha detto “Fabrizio” all’inizio del viaggio”.

↓ LA VIDEO TESTIMONIANZA DI ROBERTA PELLETTA↓

youtube.com/embed/V-_7wP9-KmU?…

Dalla sentenza della Corte costituzionale del 2019, il numero di persone che chiedono supporto per accedere alla morte volontaria assistita è in aumento, così come quello dei volontari disponibili ad accompagnarle, assumendosi rischi penali fino a 12 anni di carcere. Ad oggi Soccorso Civile conta 50 tra iscritti e contribuenti, che offrono assistenza logistica e, in alcuni casi, economica.

“Fabrizio” avrebbe avuto diritto di morire a casa sua – ha dichiarato Marco Cappato, Tesoriere dell’Associazione Luca Coscioni, Presidente e Responsabile legale dell’associazione Soccorso Civile – Continueremo con le azioni di disobbedienza civile collettiva per chiedere il rispetto della legge. Finora sono già 50 le persone coinvolte, che si assumono la responsabilità di fornire l’aiuto che lo Stato italiano nega. Faccio un appello a tutte le persone di buona volontà: unitevi a noi.

↓ LA VIDEO TESTIMONIANZA DI MARCO CAPPATO↓

youtube.com/embed/938aF7yhch8?…

Quante persone hanno chiesto l’accesso al suicidio medicalmente assistito in Liguria? I dati del nostro accesso agli atti

In Liguria sei persone hanno presentato richiesta di accesso al suicidio medicalmente assistito. Tuttavia, i dati risalenti al 31 marzo 2025 emersi dall’accesso agli atti effettuato dall’Associazione Luca Coscioni risultano frammentari, poco trasparenti e fortemente influenzati dalle valutazioni delle singole ASL. La situazione è così articolata:

• ASL 1 Imperiese (Provincia di Imperia): 1 richiesta,
• ASL 2 Savonese (Provincia di Savona): 1 richiesta
• ASL 3 Genovese (Area metropolitana di Genova): 3 richieste
• ASL 4 Chiavarese (Tigullio): nessuna richiesta
• ASL 5 Spezzino (Provincia della Spezia): 1 richiesta
  

L'articolo “Fabrizio” costretto dallo Stato italiano a subire la tortura di 10 ore di viaggio in Svizzera, nonostante avesse diritto a essere aiutato a casa sua proviene da Associazione Luca Coscioni.

Gli editori dei principali media britannici stanno aumentando la pressione su Google, citando le gravi conseguenze dell’introduzione dell’intelligenza artificiale nella ricerca. Il motivo sono le lamentele per un forte calo del traffico, che minaccia direttamente il modello di business del giornalismo online.

In una conferenza stampa estiva, il CEO del Financial Times John Slade ha riferito che il traffico di ricerca sul sito era diminuito del 25-30%. Ha definito questo “il cambiamento più significativo nella ricerca degli ultimi decenni”. In precedenza, Google era considerato una fonte costante e stabile di lettori per le testate giornalistiche.

Google, che controlla oltre il 90% del mercato di ricerca del Regno Unito, ha lanciato le panoramiche AI e una scheda Modalità AI. La prima mostra risposte pronte all’uso alle query direttamente in cima ai risultati di ricerca, mentre la seconda funziona come un chatbot. In entrambi i casi, gli utenti spesso non hanno bisogno di cliccare sui link, portando gli editori a parlare sempre più spesso di uno scenario “Google zero”, in cui i clic provenienti dalla ricerca scompariranno quasi completamente.

Le conseguenze per i media sono state tangibili. Il proprietario del Daily Mail ha segnalato all’autorità antitrust che il traffico sui suoi siti web è diminuito dell’89% dopo l’implementazione di AI Overviews. Guardian Media Group e la Professional Publishers Association (PPA) hanno sostenuto questa posizione, chiedendo a Google di divulgare i tassi di clic di AI Overviews e AI Mode nell’ambito di un’indagine sulla posizione dominante dell’azienda sul mercato.

Gli editori affermano di trovarsi di fatto di fronte a una scelta: accettare i termini di Google per l’utilizzo dei contenuti nei servizi di intelligenza artificiale o rischiare di essere completamente rimossi dai risultati di ricerca. Ciò avviene sullo sfondo di una crisi generale del settore: aumento dei costi, calo degli introiti pubblicitari, calo delle vendite della carta stampata e un pubblico che si allontana dalle notizie.

Anche la qualità delle informazioni generate dall’intelligenza artificiale solleva interrogativi. Sebbene Google abbia perfezionato il suo sistema a seguito di casi controversi – in precedenza, agli utenti veniva consigliato di “mangiare sassi” o “aggiungere colla alla pizza” – il problema delle “allucinazioni” rimane. Dati errati o fittizi continuano a comparire nelle risposte e i bias algoritmici incorporati rimangono oggetto di dibattito.

Google non è l’unica ad affrontare sfide simili. A gennaio, Apple è stata costretta ad aggiornare una funzionalità dei suoi nuovi iPhone che mostrava falsi notiziari della BBC accompagnati dal logo dell’azienda. Liz Reed, responsabile della ricerca di Google, ha dichiarato in un post sul blog aziendale che l’implementazione dell’intelligenza artificiale “aumenta il volume di ricerca e genera clic di qualità superiore”. Ha sottolineato che il traffico di rete complessivo rimane stabile, sebbene alcuni siti stiano perdendo pubblico mentre altri lo stanno guadagnando. Ha inoltre affermato che i resoconti indipendenti di un forte calo del traffico si basano su “metodologie imperfette o prove aneddotiche”.

Google Discover, che offre agli utenti articoli e video in base ai loro interessi, è diventato un attore importante. Oggi sta sostituendo sempre più il traffico di ricerca. Tuttavia, gli esperti considerano questa fonte inaffidabile. Secondo il consulente David Battle, Discover genera traffico di bassa qualità, incoraggia il clickbait e non è allineato con gli interessi editoriali a lungo termine.

I media vedono anche una minaccia in un’altra direzione: l’uso dei loro contenuti per addestrare modelli linguistici di grandi dimensioni. L’industria creativa sta attivamente facendo pressioni per vietare l’uso di materiali protetti da copyright senza il consenso dei titolari dei diritti. L’industria stima che, senza una regolamentazione rigorosa, “il valore verrà sottratto” a un settore da 125 miliardi di sterline.

L'articolo “Google Zero” e la crisi dei media: le AI minacciano il modello di business degli editori proviene da il blog della sicurezza informatica.

I ricercatori hanno scoperto un pacchetto dannoso chiamato fezbox in npm che ruba i cookie delle vittime. Per garantire che l’attività dannosa rimanga inosservata, vengono utilizzati codici QR per scaricare il malware dal server degli aggressori.

Secondo i ricercatori di Socket, gli aggressori hanno trovato un nuovo utilizzo per i codici QR: nascondere codice dannoso al loro interno. Gli analisti hanno segnalato che il pacchetto contiene istruzioni nascoste per scaricare un’immagine JPG con un codice QR, che viene poi elaborato per lanciare un payload offuscato come parte della seconda fase dell’attacco.

Al momento della scoperta del malware, il pacchetto era stato scaricato almeno 327 volte prima che gli amministratori di npm lo rimuovessero. Bleeping Computer sottolinea che il payload dannoso principale si trova nel file dist/fezbox.cjs del pacchetto (usando la versione 1.3.0 come esempio). Il codice nel file è stato minimizzato e reso più facile da leggere dopo la formattazione.

Il malware verifica anche se l’applicazione è in esecuzione in un ambiente di sviluppo per eludere il rilevamento. “Gli aggressori non vogliono rischiare di essere scoperti in un ambiente virtuale o non di produzione, quindi aggiungono restrizioni su quando e come il loro exploit opera”, spiegano i ricercatori. “Se non vengono rilevati problemi, dopo 120 secondi, analizza ed esegue il codice QR all’indirizzo nella stringa invertita.”

Il risultato, una volta effettuato l’accesso, è un URL. Secondo gli esperti, memorizzare gli URL in ordine inverso è una tecnica di mascheramento utilizzata per aggirare gli strumenti di analisi statica che cercano gli URL (quelli che iniziano con http(s)://) nel codice.

A differenza dei codici QR che normalmente incontriamo nella vita reale, questo è insolitamente denso e contiene molti più dati. Come hanno notato i giornalisti, è impossibile da leggere con una normale fotocamera del telefono. Gli aggressori hanno creato appositamente il codice QR per trasmettere codice offuscato che può essere analizzato dal pacchetto. Il payload offuscato legge il cookie tramite document.cookie .

La scoperta di questo malware dimostra un nuovo approccio all’abuso dei codici QR. Un computer infetto può utilizzarli per comunicare con il proprio server di comando e controllo, mentre a un server proxy o a uno strumento di sicurezza di rete, questo apparirà come normale traffico di immagini.

L'articolo Malware Fezbox: il pacchetto NPM che ruba cookie con i QRCode proviene da il blog della sicurezza informatica.

Introduction

The modern development world is almost entirely dependent on third-party modules. While this certainly speeds up development, it also creates a massive attack surface for end users, since anyone can create these components. It is no surprise that malicious modules are becoming more common. When a single maintainer account for popular modules or a single popular dependency is compromised, it can quickly turn into a supply chain attack. Such compromises are now a frequent attack vector trending among threat actors. In the last month alone, there have been two major incidents that confirm this interest in creating malicious modules, dependencies, and packages. We have already discussed the recent compromise of popular npm packages. September 16, 2025 saw reports of a new wave of npm package infections, caused by the self-propagating malware known as Shai-Hulud.

Shai-Hulud is designed to steal sensitive data, expose private repositories of organizations, and hijack victim credentials to infect other packages and spread on. Over 500 packages were infected in this incident, including one with more than two million weekly downloads. As a result, developers who integrated these malicious packages into their projects risk losing sensitive data, and their own libraries could become infected with Shai-Hulud. This self-propagating malware takes over accounts and steals secrets to create new infected modules, spreading the threat along the dependency chain.

Technical details

The worm’s malicious code executes when an infected package is installed. It then publishes infected releases to all packages the victim has update permissions for.

Once the infected package is installed from the npm registry on the victim’s system, a special command is automatically executed. This command launches a malicious script over 3 MB in size named bundle.js, which contains several legitimate, open-source work modules.

Key modules within bundle.js include:

• Library for interacting with AWS cloud services
• GCP module that retrieves metadata from the Google Cloud Platform environment
• Functions for TruffleHog, a tool for scanning various data sources to find sensitive information, specifically secrets
• Tool for interacting with the GitHub API

The JavaScript file also contains network utilities for data transfer and the main operational module, Shai-Hulud.

The worm begins its malicious activity by collecting information about the victim’s operating system and checking for an npm token and authenticated GitHub user token in the environment. If a valid GitHub token is not present, bundle.js will terminate. A distinctive feature of Shai-Hulud is that most of its functionality is geared toward Linux and macOS systems: almost all malicious actions are performed exclusively on these systems, with the exception of using TruffleHog to find secrets.

Exfiltrating secrets

After passing the checks, the malware uses the token mentioned earlier to get information about the current GitHub user. It then runs the extraction function, which creates a temporary executable bash script at /tmp/processor.sh and runs it as a separate process, passing the token as an argument. Below is the extraction function, with strings and variable names modified for readability since the original source code was illegible.

The extraction function, formatted for readability

The bash script is designed to communicate with the GitHub API and collect secrets from the victim’s repository in an unconventional way. First, the script checks if the token has the necessary permissions to create branches and work with GitHub Actions. If it does, the script gets a list of all the repositories the user can access from 2025. In each of these, it creates a new branch named shai-hulud and uploads a shai-hulud-workflow.yml workflow, which is a configuration file for describing GitHub Actions workflows. These files are automation scripts that are triggered in GitHub Actions whenever changes are made to a repository. The Shai-Hulud workflow activates on every push.

The malicious workflow configuration

This file collects secrets from the victim’s repositories and forwards them to the attackers’ server. Before being sent, the confidential data is encoded twice with Base64.

This unusual method for data collection is designed for a one-time extraction of secrets from a user’s repositories. However, it poses a threat not only to Shai-Hulud victims but also to ordinary researchers. If you search for “shai-hulud” on GitHub, you will find numerous repositories that have been compromised by the worm.

Open GitHub repositories compromised by Shai-Hulud

The main bundle.js script then requests a list of all organizations associated with the victim and runs the migration function for each one. This function also runs a bash script, but in this case, it saves it to /tmp/migrate-repos.sh, passing the organization name, username, and token as parameters for further malicious activity.

The bash script automates the migration of all private and internal repositories from the specified GitHub organization to the user’s account, making them public. The script also uses the GitHub API to copy the contents of the private repositories as mirrors.

We believe these actions are intended for the automated theft of source code from the private repositories of popular communities and organizations. For example, the well-known company CrowdStrike was caught in this wave of infections.

The worm’s self-replication

After running operations on the victim’s GitHub, the main bundle.js script moves on to its next crucial stage: self-replication. First, the script gets a list of the victim’s 20 most downloaded packages. To do this, it performs a search query with the username from the previously obtained npm token:
registry.npmjs.org/-/v1/search…

Next, for each of the packages it finds, it calls the updatePackage function. This function first attempts to download the tarball version of the package (a .TAR archive). If it exists, a temporary directory named npm-update-{target_package_name} is created. The tarball version of the package is saved there as package.tgz, then unpacked and modified as follows:

• The malicious bundle.js is added to the original package.
• A postinstall command is added to the package.json file (which is used in Node.js projects to manage dependencies and project metadata). This command is configured to execute the malicious script via node bundle.js.
• The package version number is incremented by 1.

The modified package is then re-packed and published to npm as a new version with the npm publish command. After this, the temporary directory for the package is cleared.

The updatePackage function, formatted for readability

Uploading secrets to GitHub

Next, the worm uses the previously mentioned TruffleHog utility to harvest secrets from the target system. It downloads the latest version of the utility from the original repository for the specific operating system type using the following link:
github.com/trufflesecurity/tru… version}/{OS-specific file}

The worm also uses modules for AWS and Google Cloud Platform (GCP) to scan for secrets. The script then aggregates the collected data into a single object and creates a repository named “Shai-Hulud” in the victim’s profile. It then uploads the collected information to this repository as a data.json file.

Below is a list of data formats collected from the victim’s system and uploaded to GitHub:
{
"application": {
"name": "",
"version": "",
"description": ""
},
"system": {
"platform": "",
"architecture": "",
"platformDetailed": "",
"architectureDetailed": ""
},
"runtime": {
"nodeVersion": "",
"platform": "",
"architecture": "",
"timestamp": ""
},
"environment": {
},
"modules": {
"github": {
"authenticated": false,
"token": "",
"username": {}
},
"aws": {
"secrets":
[] },
"gcp": {
"secrets":
[] },
"truffleHog": {
"available": false,
"installed": false,
"version": "",
"platform": "",
"results": [
{}
]
},
"npm": {
"token": "",
"authenticated": true,
"username": ""
}
}
}

Infection characteristics

A distinctive characteristic of the modified packages is that they contain an archive named package.tar. This is worth noting because packages usually contain an archive with a name that matches the package itself.

Through our research, we were able to identify the first package from which Shai-Hulud began to spread, thanks to a key difference. As we mentioned earlier, after infection, a postinstall command to execute the malicious script, node bundle.js, is written to the package.json file. This command typically runs immediately after installation. However, we discovered that one of the infected packages listed the same command as a preinstall command, meaning it ran before the installation. This package was ngx-bootstrap version 18.1.4. We believe this was the starting point for the spread of this infection. This hypothesis is further supported by the fact that the archive name in the first infected version of this package differed from the name characteristic of later infected packages (package.tar).

While investigating different packages, we noticed that in some cases, a single package contained multiple versions with malicious code. This was likely possible because the infection spread to all maintainers and contributors of packages, and the malicious code was then introduced from each of their accounts.

Infected libraries and CrowdStrike

The rapidly spreading Shai-Hulud worm has infected many popular libraries that organizations and developers use daily. Shai-Hulud has infected over 500 popular packages in recent days, including libraries from the well-known company CrowdStrike.
Among the infected libraries were the following:

• @crowdstrike/commitlint versions 8.1.1, 8.1.2
• @crowdstrike/falcon-shoelace versions 0.4.1, 0.4.2
• @crowdstrike/foundry-js versions 0.19.1, 0.19.2
• @crowdstrike/glide-core versions 0.34.2, 0.34.3
• @crowdstrike/logscale-dashboard versions 1.205.1, 1.205.2
• @crowdstrike/logscale-file-editor versions 1.205.1, 1.205.2
• @crowdstrike/logscale-parser-edit versions 1.205.1, 1.205.2
• @crowdstrike/logscale-search versions 1.205.1, 1.205.2
• @crowdstrike/tailwind-toucan-base versions 5.0.1, 5.0.2

But the event that has drawn significant attention to this spreading threat was the infection of the @ctrl/tinycolor library, which is downloaded by over two million users every week.

As mentioned above, the malicious script exposes an organization’s private repositories, posing a serious threat to their owners, as this creates a risk of exposing the source code of their libraries and products, among other things, and leading to an even greater loss of data.

Prevention and protection

To protect against this type of infection, we recommend using a specialized solution for monitoring open-source components. Kaspersky maintains a continuous feed of compromised packages and libraries, which can be used to secure your supply chain and protect development from similar threats.

For personal devices, we recommend Kaspersky Premium, which provides multi-layered protection to prevent and neutralize infection threats. Our solution can also restore the device’s functionality if it’s infected with malware.

For corporate devices, we advise implementing a comprehensive solution like Kaspersky Next, which allows you to build a flexible and effective security system. This product line provides threat visibility and real-time protection, as well as EDR and XDR capabilities for investigation and response. It is suitable for organizations of any scale or industry.

Kaspersky products detect the Shai-Hulud threat as HEUR:Worm.Script.Shulud.gen.

In the event of a Shai-Hulud infection, and as a proactive response to the spreading threat, we recommend taking the following measures across your systems and infrastructure:

• Use a reliable security solution to conduct a full system scan.
• Audit your GitHub repositories:
  • Check for repositories named shai-hulud.
  • Look for non-trivial or unknown branches, pull requests, and files.
  • Audit GitHub Actions logs for strings containing shai-hulud.

Indicators of compromise

Files:
bundle.js
shai-hulud-workflow.yml

Strings:
shai-hulud

Hashes:
C96FBBE010DD4C5BFB801780856EC228
78E701F42B76CCDE3F2678E548886860

Network artifacts:
https://webhook.site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7

Compromised packages:
@ahmedhfarag/ngx-perfect-scrollbar
@ahmedhfarag/ngx-virtual-scroller
@art-ws/common
@art-ws/config-eslint
@art-ws/config-ts
@art-ws/db-context
@art-ws/di
@art-ws/di-node
@art-ws/eslint
@art-ws/fastify-http-server
@art-ws/http-server
@art-ws/openapi
@art-ws/package-base
@art-ws/prettier
@art-ws/slf
@art-ws/ssl-info
@art-ws/web-app
@basic-ui-components-stc/basic-ui-components
@crowdstrike/commitlint
@crowdstrike/falcon-shoelace
@crowdstrike/foundry-js
@crowdstrike/glide-core
@crowdstrike/logscale-dashboard
@crowdstrike/logscale-file-editor
@crowdstrike/logscale-parser-edit
@crowdstrike/logscale-search
@crowdstrike/tailwind-toucan-base
@ctrl/deluge
@ctrl/golang-template
@ctrl/magnet-link
@ctrl/ngx-codemirror
@ctrl/ngx-csv
@ctrl/ngx-emoji-mart
@ctrl/ngx-rightclick
@ctrl/qbittorrent
@ctrl/react-adsense
@ctrl/shared-torrent
@ctrl/tinycolor
@ctrl/torrent-file
@ctrl/transmission
@ctrl/ts-base32
@nativescript-community/arraybuffers
@nativescript-community/gesturehandler
@nativescript-community/perms
@nativescript-community/sentry
@nativescript-community/sqlite
@nativescript-community/text
@nativescript-community/typeorm
@nativescript-community/ui-collectionview
@nativescript-community/ui-document-picker
@nativescript-community/ui-drawer
@nativescript-community/ui-image
@nativescript-community/ui-label
@nativescript-community/ui-material-bottom-navigation
@nativescript-community/ui-material-bottomsheet
@nativescript-community/ui-material-core
@nativescript-community/ui-material-core-tabs
@nativescript-community/ui-material-ripple
@nativescript-community/ui-material-tabs
@nativescript-community/ui-pager
@nativescript-community/ui-pulltorefresh
@nstudio/angular
@nstudio/focus
@nstudio/nativescript-checkbox
@nstudio/nativescript-loading-indicator
@nstudio/ui-collectionview
@nstudio/web
@nstudio/web-angular
@nstudio/xplat
@nstudio/xplat-utils
@operato/board
@operato/data-grist
@operato/graphql
@operato/headroom
@operato/help
@operato/i18n
@operato/input
@operato/layout
@operato/popup
@operato/pull-to-refresh
@operato/shell
@operato/styles
@operato/utils
@teselagen/bio-parsers
@teselagen/bounce-loader
@teselagen/file-utils
@teselagen/liquibase-tools
@teselagen/ove
@teselagen/range-utils
@teselagen/react-list
@teselagen/react-table
@teselagen/sequence-utils
@teselagen/ui
@thangved/callback-window
@things-factory/attachment-base
@things-factory/auth-base
@things-factory/email-base
@things-factory/env
@things-factory/integration-base
@things-factory/integration-marketplace
@things-factory/shell
@tnf-dev/api
@tnf-dev/core
@tnf-dev/js
@tnf-dev/mui
@tnf-dev/react
@ui-ux-gang/devextreme-angular-rpk
@ui-ux-gang/devextreme-rpk
@yoobic/design-system
@yoobic/jpeg-camera-es6
@yoobic/yobi
ace-colorpicker-rpk
airchief
airpilot
angulartics2
another-shai
browser-webdriver-downloader
capacitor-notificationhandler
capacitor-plugin-healthapp
capacitor-plugin-ihealth
capacitor-plugin-vonage
capacitorandroidpermissions
config-cordova
cordova-plugin-voxeet2
cordova-voxeet
create-hest-app
db-evo
devextreme-angular-rpk
devextreme-rpk
ember-browser-services
ember-headless-form
ember-headless-form-yup
ember-headless-table
ember-url-hash-polyfill
ember-velcro
encounter-playground
eslint-config-crowdstrike
eslint-config-crowdstrike-node
eslint-config-teselagen
globalize-rpk
graphql-sequelize-teselagen
json-rules-engine-simplified
jumpgate
koa2-swagger-ui
mcfly-semantic-release
mcp-knowledge-base
mcp-knowledge-graph
mobioffice-cli
monorepo-next
mstate-angular
mstate-cli
mstate-dev-react
mstate-react
ng-imports-checker
ng2-file-upload
ngx-bootstrap
ngx-color
ngx-toastr
ngx-trend
ngx-ws
oradm-to-gql
oradm-to-sqlz
ove-auto-annotate
pm2-gelf-json
printjs-rpk
react-complaint-image
react-jsonschema-form-conditionals
react-jsonschema-form-extras
react-jsonschema-rxnt-extras
remark-preset-lint-crowdstrike
rxnt-authentication
rxnt-healthchecks-nestjs
rxnt-kue
swc-plugin-component-annotate
tbssnch
teselagen-interval-tree
tg-client-query-builder
tg-redbird
tg-seq-gen
thangved-react-grid
ts-gaussian
ts-imports
tvi-cli
ve-bamreader
ve-editor
verror-extra
voip-callkit
wdio-web-reporter
yargs-help-output
yoo-styles

securelist.com/shai-hulud-worm…

Dal 2013, l’IEEE pubblica una classifica annuale interattiva dei linguaggi di programmazione più popolari. Tuttavia, oggi i metodi tradizionali per misurarne la popolarità potrebbero perdere di significato, a causa dei cambiamenti nel modo in cui programmiamo.

Nell’ultima classifica IEEE Spectrum, Python si riconferma al primo posto. JavaScript ha registrato il calo maggiore, scendendo dal terzo al sesto posto. Nel frattempo, anche nella categoria separata “Lavoro“, che tiene conto solo della domanda dei datori di lavoro, Python ha preso il sopravvento. Tuttavia, SQL rimane una competenza chiave nei curriculum degli sviluppatori.

La metodologia di classificazione si basa su una raccolta di dati aperti: query di ricerca su Google, discussioni su Stack Overflow , attività su GitHub e menzioni in pubblicazioni scientifiche. Tuttavia, negli ultimi due anni, il volume di tali segnali è diminuito drasticamente. Sempre più programmatori si rivolgono a ChatGPT o Claude invece di porre domande pubbliche sui forum, mentre assistenti come Cursor scrivono autonomamente codice di routine. Di conseguenza, il numero di nuove domande su Stack Overflow nel 2025 è solo il 22% del livello dell’anno scorso.

Ciò rende sempre più difficile misurare la popolarità di un linguaggio. Ma, cosa ancora più importante, la necessità stessa di scegliere un linguaggio sta gradualmente perdendo importanza.

Mentre un tempo sintassi, funzioni e regole del linguaggio erano fondamentali, ora questi compiti vengono sempre più spesso affidati all’intelligenza artificiale. I programmatori stanno iniziando a discutere meno su dove posizionare un punto e virgola o su quale indentazione sia appropriata, e si stanno concentrando maggiormente su architettura e algoritmi.

L’intelligenza artificiale è in grado di generare codice praticamente in qualsiasi linguaggio, a patto che siano forniti dati di addestramento. Questo mette in discussione il futuro dei nuovi linguaggi: sebbene libri, articoli e progetti dimostrativi abbiano contribuito in passato a promuoverli, questo non è sufficiente per l’intelligenza artificiale. Richiede grandi quantità di codice per l’addestramento, svantaggiando i linguaggi meno comuni.

A lungo termine, questo potrebbe congelare la popolarità dei linguaggi esistenti. Il lancio di nuovi progetti diventerà più difficile e la scelta del linguaggio diventerà sempre più un dettaglio tecnico, proprio come un tempo lo erano le caratteristiche di specifici processori.

Alcuni ricercatori si stanno già chiedendo se i linguaggi di alto livello siano davvero necessari. Se l’intelligenza artificiale potesse trasformare direttamente la query di un programmatore in codice intermedio per il compilatore, i linguaggi tradizionali potrebbero trasformarsi in un inutile livello di astrazione. Certo, questo porterebbe alla creazione di “scatole nere” illeggibili ma testabili unitariamente.

Anche il ruolo dei programmatori in questo futuro cambierà. Le decisioni architetturali, la selezione degli algoritmi, l’integrazione dei sistemi e l’utilizzo di nuovo hardware continueranno a essere importanti. Ciò significa che le conoscenze di base saranno considerate più importanti della padronanza di un linguaggio specifico.

Se nel 2026 esisterà un “linguaggio di programmazione primario” è un grande interrogativo. Una cosa è chiara: l’intelligenza artificiale è già diventata il motore di cambiamento più significativo nello sviluppo del software dall’avvento dei compilatori negli anni ’50. E anche se parte dell’attuale clamore intorno all’intelligenza artificiale dovesse rivelarsi una mera illusione, la pratica di utilizzare LLM per la programmazione non scomparirà.

L’IEEE promette di esplorare nuove metriche e approcci nel prossimo anno per comprendere cosa significhi realmente “popolarità del linguaggio” nell’era dell’intelligenza artificiale.

L'articolo Il codice come lo conoscevamo è morto! L’Intelligenza Artificiale scrive il futuro proviene da il blog della sicurezza informatica.

Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di Scattered Spider, un gruppo responsabile di una serie di attacchi estorsivi ai danni di importanti aziende e agenzie governative.

Secondo il fascicolo, da maggio 2022 a settembre di quest’anno, gli aggressori hanno effettuato almeno 120 intrusioni, colpendo 47 organizzazioni negli Stati Uniti, e l’importo totale dei pagamenti ha superato i 115 milioni di dollari. Un caso parallelo a Londra riguarda un attacco a Transport for London nell’agosto 2024, in cui il diciottenne Owen Flowers era coinvolto insieme a Jubair.

La chiave per identificare il sospettato è stata una serie di coincidenze tecniche. Gli investigatori hanno tracciato i trasferimenti dagli indirizzi in cui venivano inviati i pagamenti del riscatto a un server che ritenevano fosse controllato da Jubair.

Questo nodo ospitava portafogli di criptovalute utilizzati per acquistare buoni regalo per il gioco d’azzardo e carte per la consegna di cibo; gli ordini venivano consegnati al suo complesso residenziale e uno dei certificati era collegato a un profilo di gioco con informazioni sull’appartamento. Durante il raid, gli agenti hanno confiscato circa 36 milioni di dollari in criptovalute; somme ingenti erano state precedentemente prelevate da questi indirizzi.

A Jubair viene attribuita una lunga storia di attacchi informatici. Secondo l’indagine, nel 2021-2022 faceva parte diLAPSUS$, operando con i nomi utente Amtrak e Asyntax, e in precedenza come Everlynn, associato alla vendita di false richieste di dati di emergenza per conto delle forze dell’ordine. Conflitti interni a LAPSUS$ hanno portato alla fuga di dati reali nelle chat pubbliche di Telegram.

Dal 2022, una persona nota come EarthtoStar ha co-gestito il canale Star Chat, una piattaforma attiva per lo scambio di SIM. Il gruppo ha condotto sistematicamente attacchi di phishing contro i dipendenti degli operatori di telecomunicazioni, il più delle volte T-Mobile, ottenendo l’accesso a strumenti interni e vendendo servizi di inoltro di chiamata e reset degli account email.

Quell’estate, gli aggressori hanno utilizzato false pagine Okta e bot di Telegram per inviare istantaneamente codici di autenticazione a due fattori per compromettere i dipendenti di centinaia di aziende, con conseguenti incidenti presso LastPass, DoorDash, Mailchimp, Plex e Signal.

Tracce di attività portano anche al forum Exploit, dove gli account RocketAce e Lopiu pubblicizzavano l’accesso alle reti di telecomunicazioni statunitensi, kit di phishing, downloader dannosi e persino certificati Extended Validation. Tra la fine del 2022 e l’inizio del 2023, una serie di “servizi IRL” è emersa nella comunità “Com” di lingua inglese, includendo elementi di pressione fisica sugli obiettivi, tra cui offerte di rapina; questa attività è anche associata alla stessa EarthtoStar. Contemporaneamente, con il nome utente Brad o Brad_banned, ha promosso lo sviluppo di malware a livello kernel con persistenza, reverse shell e la presunta capacità di aggirare le misure di sicurezza aziendali .

Nel settembre 2023, in seguito agli attacchi a MGM Resorts e Caesars Entertainment, il gruppo ne rivendicò la responsabilità. L’accesso fu ottenuto tramite social engineering da appaltatori. Caesars, secondo quanto riportato dai media, pagò un riscatto di 15 milioni di dollari, mentre presso MGM l’interruzione provocò tempi di inattività prolungati. Nella primavera del 2025, un rapporto anonimo di “Com Cast” collegò Jubair a nuovi alias: Clark, Miku e Operator. A quest’ultimo fu attribuito il dirottamento della risorsa Doxbin e il lancio di un servizio di doxxing automatizzato.

I documenti del Dipartimento di Giustizia degli Stati Uniti descrivono specificamente un attacco informatico ai danni dell’infrastruttura di un tribunale federale nel gennaio 2025: tramite il supporto tecnico, gli aggressori hanno forzato la reimpostazione delle password, ottenuto l’accesso ad altri due account e sottratto i dati personali dei dipendenti. Uno degli account di posta elettronica compromessi ha quindi richiesto all’istituto finanziario di rilasciare urgentemente i dati dei clienti.

In altri incidenti, che spaziavano da aziende manifatturiere e di intrattenimento a società di vendita al dettaglio, finanziarie e infrastrutture critiche, lo scenario si è ripetuto: inganno del personale di supporto, modifiche delle password, esfiltrazione, talvolta crittografia, e poi contrattazione per la decrittazione o la promessa di non pubblicare i dati rubati. In cinque casi, le vittime hanno inviato almeno 89,5 milioni di dollari in BTC, con i pagamenti più consistenti destinati alle banche.

Telegram bloccò Star Chat nel marzo 2025, ma secondo gli inquirenti, le operazioni continuarono fino a settembre. Alcuni episodi richiamano il caso Flowers, così come l’indagine contro Noah Urban, che ha già ricevuto una condanna a 10 anni di carcere negli Stati Uniti. Gli analisti osservano che il coinvolgimento di minori in “Com” crea scappatoie legali e ritarda i procedimenti giudiziari, ma gli sforzi concertati di agenzie governative e aziende su entrambe le sponde dell’Atlantico stanno gradualmente privando Scattered Spider della sua base operativa.

L'articolo Criptovalute, ransomware e hamburger: la combo fatale per Scattered Spider proviene da il blog della sicurezza informatica.