Filomena Gallo interviene al convegno “Dignità, Cure Palliative e la sua dimensione sociale”

Filomena Gallo, segretaria nazionale dell’Associazione Luca Coscioni, interverrà in collegamento nella sessione di sabato 13 dicembre dedicata ai dilemmi medici, giuridici ed etici legati al fine vita del convegno “Dignità, Cure Palliative e la sua dimensione sociale”, promosso da ARNAS Garibaldi Nesima con il patrocinio dell’Ordine dei Medici di Catania e dell’Associazione Azione Forense.

13 dicembre 2025 ore 10:30 -12:00 Aula Magna Endocrinologia – ARNAS Garibaldi Nesima, Via Palermo 636, Catania

Il suo intervento sarà in dialogo con Cesare Mirabelli, già presidente della Corte Costituzionale, per affrontare con approccio giuridico e bioetico le sfide ancora aperte in materia di autodeterminazione e diritti civili nelle fasi terminali della vita.

Il Convegno avrà luogo nelle giornate del 12 e 13 dicembre e sarà accreditato con 10 crediti ECM

La partecipazione è riservata a personale sanitario e avvocati. Iscrizione tramite Intranet aziendale ARNAS Garibaldi entro l’8 dicembre.

L'articolo Filomena Gallo interviene al convegno “Dignità, Cure Palliative e la sua dimensione sociale” proviene da Associazione Luca Coscioni.

The age of cheap and powerful devices is upon us. How about a 20 EUR handheld game console intended for retro game emulation, that runs Linux under the hood? [Luiz Ferreira] kicks the tires of a R36S, a very popular and often cloned device running a quad-core RK3326 with an Ubuntu-based OS, and shows us how to write and cross-compile a simple app for it using Rust – even if you daily drive Windows.

Since a fair bit of the underlying Linux OS is exposed, you can quickly build even text applications and have them run on the console. For instance, [Luiz]’s app uses ratatui to scan then print button and joystick states to the screen. Perhaps the most important thing about this app is that it’s a detailed tutorial on cross-compiling Rust apps for a Linux target, and it runs wonders using WSL, too.

Installing your app is simple, too: SSH into it, username ark and password ark. Looking for a Linux-powered device with a bright screen, WiFi, a fair few rugged buttons, and an OS open for exploration? This one is quite reassuring in the age of usual portables like smartphones getting more and more closed-off to tinkering. And, if the store-bought hackable Linux consoles still aren’t enough, you can always step it up and build your own, reusing Joycons for your input needs while at it.

hackaday.com/2025/12/11/buildi…

L’Associazione Stampa Romana è al fianco dei colleghi de La Stampa, che oggi non è in edicola, e di tutti i giornalisti di Gedi. La vicenda della cessione delle testate del gruppo è sconcertante, colpisce la dignità delle redazioni, mette a rischio il pluralismo dell’informazione, rinnega l’identità di giornali come Repubblica e la Stampa, che hanno scandito la storia di questo paese, di realtà consolidate come Radio Capital, Deejay, M2O, Huffington Post, dei periodici.

Dismettere alla svelta, senza garanzie sulle prospettive dell’azienda e di chi ci lavora, sembra l’unico obiettivo della proprietà, incapace di concepire e sviluppare progetti credibili, di comprendere e valorizzare un patrimonio costruito in decenni con il lavoro e il coraggio di tanti colleghi. Un percorso sciagurato intrapreso tempo fa con lo smantellamento, a pezzi, di quello che fu il gruppo Espresso. Così, con l’informazione, si impoverisce la democrazia.

dicorinto.it/associazionismo/l…

What has the EDRi network been up to over the past few weeks? Find out the latest digital rights news in our bi-weekly newsletter. In this edition: 2025 might be almost over, but we aren’t done fighting for digital rights

The post EDRi-gram, 11 December 2025 appeared first on European Digital Rights (EDRi).

On December 4, 2025, researchers published details on the critical vulnerability CVE-2025-55182, which received a CVSS score of 10.0. It has been unofficially dubbed React4Shell, as it affects React Server Components (RSC) functionality used in web applications built with the React library. RSC speeds up UI rendering by distributing tasks between the client and the server. The flaw is categorized as CWE-502 (Deserialization of Untrusted Data). It allows an attacker to execute commands, as well as read and write files in directories accessible to the web application, with the server process privileges.

Almost immediately after the exploit was published, our honeypots began registering attempts to leverage CVE-2025-55182. This post analyzes the attack patterns, the malware that threat actors are attempting to deliver to vulnerable devices, and shares recommendations for risk mitigation.

A brief technical analysis of the vulnerability

React applications are built on a component-based model. This means each part of the application or framework should operate independently and offer other components clear, simple methods for interaction. While this approach allows for flexible development and feature addition, it can require users to download large amounts of data, leading to inconsistent performance across devices. This is the challenge React Server Components were designed to address.

The vulnerability was found within the Server Actions component of RSC. To reach the vulnerable function, the attacker just needs to send a POST request to the server containing a serialized data payload for execution. Part of the functionality of the handler that allows for unsafe deserialization is illustrated below:

A comparison of the vulnerable (left) and patched (right) functions

CVE-2025-55182 on Kaspersky honeypots

As the vulnerability is rather simple to exploit, the attackers quickly added it to their arsenal. The initial exploitation attempts were registered by Kaspersky honeypots on December 5. By Monday, December 8, the number of attempts had increased significantly and continues to rise.

The number of CVE-2025-55182 attacks targeting Kaspersky honeypots, by day (download)

Attackers first probe their target to ensure it is not a honeypot: they run whoami, perform multiplication in bash, or compute MD5 or Base64 hashes of random strings to verify their code can execute on the targeted machine.

In most cases, they then attempt to download malicious files using command-line web clients like wget or curl. Additionally, some attackers deliver a PowerShell-based Windows payload that installs XMRig, a popular Monero crypto miner.

CVE-2025-55182 was quickly weaponized by numerous malware campaigns, ranging from classic Mirai/Gafgyt variants to crypto miners and the RondoDox botnet. Upon infecting a system, RondoDox wastes no time, its loader script immediately moving to eliminate competitors:

Beyond checking hardcoded paths, RondoDox also neutralizes AppArmor and SELinux security modules and employs more sophisticated methods to find and terminate processes with ELF files removed for disguise.

Only after completing these steps does the script download and execute the main payload by sequentially trying three different loaders: wget, curl, and wget from BusyBox. It also iterates through 18 different malware builds for various CPU architectures, enabling it to infect both IoT devices and standard x86_64 Linux servers.

In some attacks, instead of deploying malware, the adversary attempted to steal credentials for Git and cloud environments. A successful breach could lead to cloud infrastructure compromise, software supply chain attacks, and other severe consequences.

Risk mitigation measures

We strongly recommend updating the relevant packages by applying patches released by the developers of the corresponding modules and bundles.
Vulnerable versions of React Server Components:

• react-server-dom-webpack (19.0.0, 19.1.0, 19.1.1, 19.2.0)
• react-server-dom-parcel (19.0.0, 19.1.0, 19.1.1, 19.2.0)
• react-server-dom-turbopack (19.0.0, 19.1.0, 19.1.1, 19.2.0)

Bundles and modules confirmed as using React Server Components:

• next
• react-router
• waku
• @parcel/rsc
• @vitejs/plugin-rsc
• rwsdk

To prevent exploitation while patches are being deployed, consider blocking all POST requests containing the following keywords in parameters or the request body:

• #constructor
• # proto
• #prototype
• vm#runInThisContext
• vm#runInNewContext
• child_process#execSync
• child_process#execFileSync
• child_process#spawnSync
• module#_load
• module#createRequire
• fs#readFileSync
• fs#writeFileSync
• s#appendFileSync

Conclusion

Due to the ease of exploitation and the public availability of a working PoC, threat actors have rapidly adopted CVE-2025-55182. It is highly likely that attacks will continue to grow in the near term.

We recommend immediately updating React to the latest patched version, scanning vulnerable hosts for signs of malware, and changing any credentials stored on them.

Indicators of compromise

Malware URLs
hxxp://172.237.55.180/b
hxxp://172.237.55.180/c
hxxp://176.117.107.154/bot
hxxp://193.34.213.150/nuts/bolts
hxxp://193.34.213.150/nuts/x86
hxxp://23.132.164.54/bot
hxxp://31.56.27.76/n2/x86
hxxp://31.56.27.97/scripts/4thepool_miner[.]sh
hxxp://41.231.37.153/rondo[.]aqu[.]sh
hxxp://41.231.37.153/rondo[.]arc700
hxxp://41.231.37.153/rondo[.]armeb
hxxp://41.231.37.153/rondo[.]armebhf
hxxp://41.231.37.153/rondo[.]armv4l
hxxp://41.231.37.153/rondo[.]armv5l
hxxp://41.231.37.153/rondo[.]armv6l
hxxp://41.231.37.153/rondo[.]armv7l
hxxp://41.231.37.153/rondo[.]i486
hxxp://41.231.37.153/rondo[.]i586
hxxp://41.231.37.153/rondo[.]i686
hxxp://41.231.37.153/rondo[.]m68k
hxxp://41.231.37.153/rondo[.]mips
hxxp://41.231.37.153/rondo[.]mipsel
hxxp://41.231.37.153/rondo[.]powerpc
hxxp://41.231.37.153/rondo[.]powerpc-440fp
hxxp://41.231.37.153/rondo[.]sh4
hxxp://41.231.37.153/rondo[.]sparc
hxxp://41.231.37.153/rondo[.]x86_64
hxxp://51.81.104.115/nuts/bolts
hxxp://51.81.104.115/nuts/x86
hxxp://51.91.77.94:13339/termite/51.91.77.94:13337
hxxp://59.7.217.245:7070/app2
hxxp://59.7.217.245:7070/c[.]sh
hxxp://68.142.129.4:8277/download/c[.]sh
hxxp://89.144.31.18/nuts/bolts
hxxp://89.144.31.18/nuts/x86
hxxp://gfxnick.emerald.usbx[.]me/bot
hxxp://meomeoli.mooo[.]com:8820/CLoadPXP/lix.exe?pass=PXPa9682775lckbitXPRopGIXPIL
hxxps://api.hellknight[.]xyz/js
hxxps://gist.githubusercontent[.]com/demonic-agents/39e943f4de855e2aef12f34324cbf150/raw/e767e1cef1c35738689ba4df9c6f7f29a6afba1a/setup_c3pool_miner[.]sh

MD5 hashes
0450fe19cfb91660e9874c0ce7a121e0
3ba4d5e0cf0557f03ee5a97a2de56511
622f904bb82c8118da2966a957526a2b
791f123b3aaff1b92873bd4b7a969387
c6381ebf8f0349b8d47c5e623bbcef6b
e82057e481a2d07b177d9d94463a7441

securelist.com/cve-2025-55182-…

Negli angoli più nascosti di internet, il traffico di dati rubati e accessi non autorizzati continua a prosperare. Un recente post apparso su un forum underground chiuso, mostra la vendita di 896 credenziali VPN FortiSSL, complete di indirizzo IP e credenziali in chiaro, a un prezzo complessivo di 3.000 dollari.

Il post nelle underground e la minaccia latente

L’annuncio, pubblicato da un utente elenca gli accessi disponibili per diverse nazioni, tra cui Stati Uniti, Germania, Austria, Singapore, Giappone, Corea del Sud, Italia, Emirati Arabi Uniti, Brasile, Svizzera e Francia. I dati sono offerti nel tradizionale formato ip:port user:password, facilmente utilizzabile da chiunque abbia conoscenze base di rete.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

La vendita di credenziali VPN rappresenta una minaccia crescente per aziende e privati. Le VPN, strumenti pensati per garantire privacy e sicurezza online, diventano così una porta d’ingresso per attacchi informatici mirati, furti di dati sensibili e attività di spionaggio digitale.

Il fatto che questi accessi siano commercializzati con una “garanzia dell’utente” evidenzia la professionalizzazione del mercato criminale, dove l’affidabilità del venditore è diventata un fattore di marketing tra i cybercriminali.

Secondo gli esperti di cybersecurity, forum di questo tipo stanno diventando sempre più sofisticati, offrendo non solo credenziali, ma veri e propri servizi di accesso a reti aziendali, server FTP e database. La presenza di accessi provenienti da diverse nazioni evidenzia inoltre l’internazionalità del fenomeno, che può avere ripercussioni globali se le credenziali vengono utilizzate per attacchi mirati.

Le autorità e le aziende sono quindi chiamate a rafforzare le difese dei sistemi VPN e ad adottare misure di sicurezza avanzate, come l’autenticazione a più fattori e il monitoraggio continuo degli accessi, per contrastare la proliferazione di credenziali rubate nel dark web.

Cosa devono fare le aziende italiane dopo aver letto questo articolo

L’allarme lanciato da questo post sottolinea quanto sia delicato il confine tra strumenti di protezione e vulnerabilità sfruttabili dai criminali: nel mondo digitale, anche una VPN, se compromessa, può trasformarsi in un rischio significativo per la sicurezza informatica.

Le aziende non possono permettersi di affidarsi alla speranza: la protezione dei sistemi VPN deve diventare una priorità strategica. È fondamentale implementare l’autenticazione a più fattori (MFA) per tutti gli accessi remoti, aggiornare regolarmente le configurazioni dei dispositivi e dei server VPN, e adottare soluzioni di monitoraggio continuo degli accessi e dei log di rete.

Anche la formazione del personale gioca un ruolo cruciale: sensibilizzare dipendenti e collaboratori sulle minacce legate a credenziali compromesse riduce significativamente il rischio di incidenti.

Inoltre, le aziende devono considerare la gestione proattiva delle credenziali, inclusa la rotazione periodica delle password e l’utilizzo di strumenti sicuri per la loro memorizzazione.

Controlli regolari sulle vulnerabilità, audit di sicurezza e simulazioni di attacco consentono di identificare e correggere punti deboli prima che possano essere sfruttati. Solo adottando un approccio integrato e costantemente aggiornato è possibile ridurre il rischio derivante dalla vendita e dall’utilizzo illecito di credenziali VPN nel dark web.

L'articolo 896 accessi a FortiSSL in vendita a 3.000$ tra i quali anche di aziende italiane proviene da Red Hot Cyber.

The European Ombudsman has found that the Commission disregarded important transparency rules while preparing the Europol Regulation, which is a part of the legislation to "counter migrant smuggling". The inquiry concluded that the Commission didn't provide enough evidence to justify the claims of "urgency" to bypass their own 'Better Regulation' rules, and skipping public consultations, thorough impact assessments and evidence gathering.

The post Migrant smuggling laws: European Commission found in breach of transparency rules appeared first on European Digital Rights (EDRi).

EDRi affiliate Danes je nov dan launched a multi-faceted campaign in response to a government proposal that would allow the Slovene Intelligence and Security Agency (SOVA) to use invasive spyware and mass surveillance tools under the guise of “national security”. By combining a satirical online tool with targeted advocacy towards lawmakers, their efforts helped generate critical pressure needed to stop the legislation from being adopted.

The post How Danes je nov dan helped stop dangerous spyware in Slovenia appeared first on European Digital Rights (EDRi).

Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi piena coerenza con le informazioni rese pubbliche dal Dipartimento di Giustizia degli Stati Uniti.

Già a luglio avevamo descritto il funzionamento di DDoSia e il ruolo di NoName057(16) nel reclutare volontari per attacchi DDoS tramite Telegram, evidenziando come dietro quella che sembrava un’attività di “cyber-volontariato patriottico” ci fosse un coordinamento centralizzato e infrastrutture riconducibili a figure legate al CISM, organismo filogovernativo russo. I documenti e le accuse odierne confermano che questi strumenti e network venivano utilizzati per sostenere interessi geopolitici russi, colpendo infrastrutture critiche e bersagli strategici in tutto il mondo.

La corrispondenza tra le nostre osservazioni investigative e le incriminazioni ufficiali dimostra che la logica di coordinamento centralizzato e il legame con istituzioni russe erano elementi concreti, non ipotesi.

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato ieri due nuove incriminazioni contro Victoria Eduardovna Dubranova, 33 anni, nota anche con i soprannomi Vika, Tory e SovaSonya, per il suo ruolo in cyberattacchi e intrusioni informatiche rivolti contro infrastrutture critiche, a sostegno degli interessi geopolitici russi.

Dubranova, estradata negli Stati Uniti in seguito al primo capo d’accusa relativo al gruppo CyberArmyofRussia_Reborn (CARR), è stata oggi formalmente incriminata anche per le sue azioni a supporto di NoName057(16) (NoName). La donna ha dichiarato di non essere colpevole in entrambi i casi; il processo per NoName è previsto per il 3 febbraio 2026, mentre per CARR inizierà il 7 aprile 2026.

“Le azioni di oggi dimostrano l’impegno del Dipartimento nel contrastare le attività informatiche russe dannose, siano esse condotte direttamente da attori statali o da loro mandatari criminali, volte a promuovere gli interessi geopolitici della Russia”, ha dichiarato il Procuratore Generale Aggiunto per la Sicurezza Nazionale John A. Eisenberg. “Rimaniamo fermi nel difendere i servizi essenziali, compresi i sistemi alimentari e idrici su cui gli americani fanno affidamento ogni giorno, e nel chiamare a rispondere coloro che cercano di indebolirli”.

Secondo le accuse, il governo russo ha sostenuto finanziariamente entrambe le organizzazioni, consentendo loro di accedere a servizi cybercriminali, tra cui abbonamenti a piattaforme DDoS-for-hire. CARR, noto anche come Z-Pentest, è stato fondato, finanziato e diretto dal GRU, e ha rivendicato centinaia di attacchi a livello globale, colpendo infrastrutture critiche statunitensi, sistemi idrici pubblici, impianti di lavorazione della carne e persino siti elettorali.

NoName057(16), invece, operava tramite un sistema di crowd-hacking chiamato DDoSia, distribuito tramite Telegram a volontari reclutati in tutto il mondo. Gli utenti venivano incentivati con pagamenti in criptovalute in base alla quantità di attacchi DDoS eseguiti, seguendo leaderboard quotidiane pubblicate dal gruppo. Le vittime includevano enti governativi, istituti finanziari e infrastrutture strategiche come porti e ferrovie pubbliche.

Red Hot Cyber aveva già osservato nel febbraio 2025 il funzionamento di DDoSia e l’infrastruttura di NoName057(16), descrivendo un ecosistema che, pur apparendo come un’attività volontaria, mostrava chiari elementi di coordinamento centralizzato. Analisi del client DDoSia rivelarono server C2 nascosti, che impartivano comandi criptati agli utenti e coordinavano attacchi simultanei, confermando una logica organizzativa oltre la semplice partecipazione “volontaria”.

Le indagini dell’Operazione Eastwood, condotta da Europol, avevano portato allo smantellamento di oltre 100 server in cinque Paesi europei e al fermo di diversi individui in Francia e Spagna. L’inchiesta aveva inoltre evidenziato il ruolo di figure chiave come Maxim Nikolaevič Lupin, direttore generale del CISM (Centro per lo Studio e il Monitoraggio dell’Ambiente Giovanile), e Mihail Evgenyevich Burlakov, professore associato e vice-direttore del medesimo centro.

Il CISM, sebbene ufficialmente impegnato nella tutela dei giovani e nella prevenzione dei contenuti dannosi, ha legami documentati con le infrastrutture utilizzate da NoName057(16). Burlakov è riconosciuto come progettista del client DDoSiae responsabile della gestione dei server usati per gli attacchi, mentre Lupin gestiva la direzione strategica delle operazioni. Documenti interni e evidenze OSINT mostrano una sovrapposizione tra attività di rieducazione giovanile e strumenti di attacco informatico, sollevando interrogativi sul confine tra controllo sociale e operazioni cyber.

Le accuse contro Dubranova comprendono cospirazione per danneggiare computer protetti, frode informatica e furto di identità aggravato, con pene massime che arrivano fino a 27 anni di carcere per le azioni legate a CARR e fino a cinque anni per NoName. Parallelamente, il Dipartimento di Stato USA offre ricompense fino a 10 milioni di dollari per informazioni su individui legati a NoName e fino a 2 milioni per informazioni su CARR.

Secondo le agenzie statunitensi, gruppi hacktivisti filo-russi come CARR e NoName sfruttano connessioni remote poco protette per infiltrarsi in sistemi di infrastrutture critiche, causando impatti fisici e operativi significativi. L’FBI, la CISA, la NSA e altre agenzie hanno ribadito la loro determinazione a identificare e neutralizzare questi attori, sottolineando l’importanza di proteggere servizi essenziali come acqua, energia e trasporti.

L'articolo DDoSia e NoName057(16): le indagini di RHC confermate dal Dipartimento di Giustizia USA proviene da Red Hot Cyber.

This article highlights evidence-based alternatives that strengthen child safety while safeguarding encryption and fundamental rights. It calls for better enforcement, more targeted tools, and meaningful support for child protection services rather than broad surveillance measures.

The post Moving past ‘Chat Control’ to solutions that truly protect kids and privacy appeared first on European Digital Rights (EDRi).

The Dutch word for sundial, zonnewijzer, can be literally translated into “Sun Pointer” according to [illusionmanager] — and he took that literal translation literally, building a reverse sundial so he would always know the precise location of our local star, even when it is occluded by clouds or the rest of the planet.

The electronics aren’t hugely complicated: an ESP32 dev board, an RTC board, and a couple of steppers. But the craftsmanship is, as usual for [illusionmanager], impeccable. You might guess that one motor controls the altitude and the other the azimuth of the LED-filament pointer (a neat find from AliExpress), but you’d be wrong.

This is more like an equatorial mount, in that the shaft the arrow spins upon is bent at a 23.5 degree angle. Through that hollow shaft a spring-steel wire connects the arrow to one stepper, to drive it through the day. The second stepper turns the shaft to keep the axis pointed correctly as Earth orbits the sun.

Either way you can get an arrow that always points at the sun, but this is lot more elegant than an alt-az mount would have been, at the expense of a fiddlier build. Given the existence of the orrery clock we featured from him previously, it’s safe to say that [illusionmanager] is not afraid of a fiddly build. Doing it this way also lets you read the ticks on the base just as you would a real sundial, which takes this from discussion piece to (semi) usable clock.

hackaday.com/2025/12/10/revers…

Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notepad++ potrebbe consentire agli aggressori di dirottare il traffico di rete, compromettere il processo di aggiornamento e installare malware sui computer interessati. Questa falla è stata ora corretta nella versione 8.8.9 di Notepad++.

Gli utenti che utilizzano versioni precedenti dovrebbero eseguire immediatamente una scansione approfondita con un software di sicurezza affidabile. I loro sistemi potrebbero essere già stati compromessi; nei casi più gravi, una reinstallazione completa del sistema potrebbe essere l’unica soluzione affidabile.

Secondo gli sviluppatori, l’utilità di aggiornamento di Notepad++, WinGUp, potrebbe, in determinate circostanze, essere reindirizzata a un server dannoso, con conseguente download di un eseguibile manomesso in grado di infettare il sistema.

Durante il processo di aggiornamento, WinGUp controlla il numero di versione e interroga l’endpoint notepad-plus-plus.org/update/g… Questo endpoint genera un file XML che include l’URL per il download, che l’aggiornamento recupera ed esegue dalla directory %TEMP%. Qualsiasi avversario in grado di intercettare e modificare questo traffico potrebbe alterare l’URL di download, ad esempio sostituendolo con un collegamento a un payload dannoso.

A partire dalla versione 8.8.7, Notepad++ ha adottato un certificato digitale GlobalSign affidabile, eliminando la necessità per gli utenti di installare un certificato radice separato e rafforzando notevolmente la sicurezza dell’applicazione.

La versione 8.8.8 ha introdotto il requisito che WinGUp utilizzi GitHub.com come unica fonte di download, mentre la nuova versione 8.8.9 migliora ulteriormente la sicurezza convalidando correttamente la firma digitale e il certificato del file scaricato. Se la verifica fallisce, il processo di aggiornamento viene interrotto.

Gli sviluppatori non hanno ancora determinato con precisione come si sia verificato il dirottamento del traffico e sono in corso ulteriori indagini. Tuttavia, le prove esistenti suggeriscono che gli aggressori abbiano già sfruttato la vulnerabilità contro specifiche organizzazioni prese di mira.

Si consiglia vivamente agli utenti di aggiornare almeno alla versione 8.8.8, sebbene sia preferibile l’aggiornamento diretto alla versione 8.8.9. Poiché la versione 8.8.8 non è in grado di rilevare l’ultima versione, gli utenti dovrebbero scaricare manualmente la versione 8.8.9 dal sito web ufficiale.

L'articolo Supply chain: Notepad++ rafforza la sicurezza dopo un grave incidente di dirottamento del traffico proviene da Red Hot Cyber.

Una vulnerabilità critica associata all’esecuzione di codice remoto (RCE) in Outlook è stata sanata da Microsoft, potenzialmente consentendo a malintenzionati di attivare codice dannoso su sistemi deboli. La vulnerabilità monitorata con l’identificativo CVE-2025-62562, deriva da una vulnerabilità di tipo use-after-free in Microsoft Office Outlook e ha una severity CVSS: 7,8.

L’attivazione dell’exploit avviene localmente, richiedendo all’aggressore di indurre un utente a interagire con un’e-mail dannosa. Una volta fatto ciò, l’attacco scatenato convince l’utente a rispondere ad un’e-mail fasulla, innescando la catena di esecuzione del codice.

Una vulnerabilità che richiede l’interazione dell’utente

Secondo Microsoft, è fondamentale che le organizzazioni installino prioritariamente gli aggiornamenti di sicurezza disponibili per tutte le versioni di Microsoft Office che sono state oggetto dell’aggiornamento.

La vulnerabilità interessa diverse versioni di Microsoft Office , tra cui Microsoft Word 2016 (sia a 32 bit che a 64 bit). Il riquadro di anteprima non consente l’esecuzione della minaccia. L’aggressore ha bisogno che l’utente risponda manualmente a un’e-mail appositamente creata per sfruttare la vulnerabilità.

Microsoft ha confermato che le patch di sicurezza sono disponibili tramite Windows Update e Microsoft Download Center. Questo requisito di interazione aggiunge un ulteriore livello di difficoltà. Tuttavia, rimane una minaccia concreta in scenari reali in cui le tecniche di ingegneria sociale potrebbero convincere gli utenti a rispondere.

Haifei Li di EXPMON ha segnalato la vulnerabilità mediante il processo di Coordinated Vulnerability Disclosure. Al momento della pubblicazione, risulta che non esistono prove di sfruttamento attivo o di divulgazione pubblica del codice di exploit.

Gli aggiornamenti per Microsoft Office LTSC per Mac 2021 e 2024 non sono immediatamente disponibili. Saranno rilasciati il prima possibile. Per i sistemi senza disponibilità immediata delle patch, Microsoft consiglia di prestare attenzione alle e-mail indesiderate ed evitare di rispondere a messaggi sospetti.

Il fattore umano ancora il punto di svolta

Nonostante le tecnologie di difesa continuino a evolvere, il fattore umano rimane tuttora il punto più fragile dell’intera catena di sicurezza. La vulnerabilità RCE di Outlook lo dimostra chiaramente: l’exploit non si attiva da solo, ma richiede che l’utente risponda a un’e-mail appositamente costruita.

In un contesto in cui gli attacchi diventano sempre più convincenti grazie a tecniche di ingegneria sociale potenziate dall’intelligenza artificiale, anche un singolo clic può trasformarsi nella porta d’ingresso per un compromesso grave. Le organizzazioni che non investono nella formazione continua dei propri dipendenti si ritrovano inevitabilmente esposte, perché nessuna patch o soluzione tecnologica può compensare un comportamento inconsapevole.

Nell’era delle minacce AI-driven, la consapevolezza al rischio non è più solo un valore aggiunto, ma un fattore determinante per la resilienza aziendale. I moderni attacchi sfruttano analisi comportamentali, testi generati dall’IA indistinguibili dall’umano e campagne mirate che fanno leva su abitudini, pressioni lavorative e automatismi psicologici.

In questo scenario, sviluppare una cultura della sicurezza – fatta di attenzione, dubbi sani e processi di verifica – diventa essenziale quanto mantenere aggiornati i sistemi. Solo integrando tecnologia e comportamenti consapevoli, le aziende possono realmente resistere alle minacce sempre più sofisticate che l’intelligenza artificiale contribuisce a generare.

L'articolo Nuova RCE in Outlook: il fattore umano nella cybersecurity è ancora il punto di svolta proviene da Red Hot Cyber.

Aircraft parts generally have to meet very specific standards, because if certain parts fail, the aircraft falls out of the sky. This usually ends poorly, and is best avoided by using the proper equipment during repair and maintenance tasks. A great example of this comes to us from the UK, where a light aircraft crashed after an aftermarket 3D printed component failed. (via BBC)
It’s not supposed to look like that. Credit: AAIB
The report from the Air Accidents Investigation Branch tells the story. The owner of a Cozy MK IV light aircraft had fitted it with a 3D-printed air intake elbow, which fed the engine. During the landing phase of a recent flight, the air intake collapsed, starving the engine of air and leading to a loss of power. With precious little altitude and speed, the pilot was unable to reach the runway, landing short and crashing into part of the airfield’s instrument landing system (ILS). Thankfully, the pilot only suffered minor injuries.

Post-crash analysis revealed that the aircraft owner had installed the 3D-printed component, purchased from an air show in the United States. The part was believed to be printed in a CF-ABS filament, with a supposed glass transition temperature of 105 C. Noting this was above the glass transition temperature of the standard fiberglass epoxy resin part used in these aircraft, the owner believed the part to be fit for purpose. However, post-crash testing revealed the 3D printed part had a glass transition temperature of under 55 C, and also lacked the aluminium tube reinforcement of the standard intake. Thus, when it was used in the hot engine bay of the small aircraft, it eventually grew hot enough to fail, causing the loss of power that led to the crash.

The basic lesson here is easy to understand. Don’t rely on an untested 3D printed part when life and limb are on the line. You wouldn’t 3D print a seatbelt, now, would you? Stick to stuff that won’t hurt you if it fails, and be safe out there.

[Thanks to George Graves for the tip!]

hackaday.com/2025/12/10/3d-pri…

Un aggiornamento urgente è stato pubblicato da Google per la versione stabile del browser Desktop, al fine di risolvere una vulnerabilità estremamente grave che è attualmente oggetto di sfruttamento.

Questo aggiornamento, che porta il browser alla versione 143.0.7499.109/.110, risolve tre vulnerabilità di sicurezza, compresa una falla zero-day contrassegnata come 466192044. Google, diversamente dal solito, ha tenuto nascosti i dettagli del suo identificatore CVE, limitandosi a indicarlo come “In fase di coordinamento”.

Google ha inoltre risolto, altre due vulnerabilità di media gravità segnalate da esperti di sicurezza esterni. Per questo, sono stati assegnati complessivamente 4.000 dollari nell’ambito del programma di bounty per i bug e sono:

• CVE-2025-14372: una vulnerabilità di tipo “use-after-free” nel Password Manager. Questo bug di danneggiamento della memoria è stato segnalato da Weipeng Jiang (@Krace) di VRI il 14 novembre 2025, che ha fruttato una ricompensa di 2.000 dollari.
• CVE-2025-14373: Un’implementazione inappropriata nella barra degli strumenti. Scoperta dal ricercatore Khalil Zhani il 18 novembre 2025, anche questa falla comportava una ricompensa di 2.000 dollari.

Ritornando alla precedente vulnerabilità senza CVE, l’azienda ha riportato un monito severo: “È noto a Google che esista un exploit specifico del numero 466192044″. Ciò conferma che gli autori della minaccia hanno già sfruttato la falla per colpire gli utenti.

La condizione di “coordinamento in corso” implica che la vulnerabilità potrebbe implicare un’ulteriore cooperazione con altri fornitori, prima di poter rendere pubblici i dettagli tecnici completi in piena sicurezza.

L’aggiornamento è ora disponibile per gli utenti Windows, Mac e Linux. Dato lo sfruttamento attivo della vulnerabilità ad alta gravità, si consiglia vivamente ad amministratori e utenti di non attendere il rilascio automatico.

L'articolo Chrome sotto attacco! Google rilascia d’urgenza una patch per un bug senza CVE proviene da Red Hot Cyber.

Appena due giorni dopo la scoperta della vulnerabilità critica di React2Shell, i ricercatori di Sysdig hanno scoperto un nuovo malware, EtherRAT, in un’applicazione Next.js compromessa. Il malware utilizza gli smart contract di Ethereum per la comunicazione e ottiene persistenza sui sistemi Linux in cinque modi.

Gli esperti ritengono che il malware sia correlato agli strumenti utilizzati dal gruppo nordcoreano Lazarus. Tuttavia, EtherRAT differisce dai campioni noti per diversi aspetti chiave.

React2Shell (CVE-2025-55182) è una vulnerabilità critica nella popolare libreria JavaScript React di Meta.Il problema, che ha ricevuto un punteggio CVSS di 10 su 10, è correlato alla deserializzazione non sicura dei dati nei componenti di React Server e consente l’esecuzione di codice remoto sul server utilizzando una normale richiesta HTTP (senza autenticazione o privilegi).

Il bug riguarda le ultime versioni 19.0, 19.1.0, 19.1.1 e 19.2.0 nelle configurazioni predefinite, nonché il famoso framework Next.js. Le correzioni sono state rilasciate nelle versioni 19.0.1, 19.1.2 e 19.2.1 di React, nonché per le versioni di Next.js interessate.

Gli esperti avvertono che potrebbero verificarsi problemi simili in altre librerie con implementazioni di React Server, tra cui: plugin Vite RSC, plugin Parcel RSC, anteprima di React Router RSC, RedwoodSDK e Waku.

La vulnerabilità è già stata sfruttata dai gruppi di hacker cinesi Earth Lamia e Jackpot Panda e almeno 30 organizzazioni sono state colpite dagli attacchi.

Gli attacchi iniziano sfruttando la vulnerabilità React2Shell. Una volta sfruttata, un comando shell codificato in base64 viene eseguito sul sistema di destinazione. Questo comando viene utilizzato per scaricare uno script s.sh dannoso tramite curl, wget o python3. Il comando viene ripetuto ogni 300 secondi fino al completamento del download. Lo script risultante viene verificato, gli vengono concessi i permessi di esecuzione e viene avviato.

Lo script crea quindi una directory nascosta in $HOME/.local/share/, dove scarica la versione 20.10.0 del runtime Node.js legittimo direttamente dal sito web ufficiale nodejs.org. Quindi scrive un payload crittografato e un dropper JavaScript offuscato, che viene eseguito tramite il binario Node scaricato. Lo script si elimina quindi da solo.

Il dropper legge il blob crittografato, lo decrittografa utilizzando una chiave AES-256-CBC codificata e scrive il risultato come un altro file JavaScript nascosto. Il payload decrittografato è EtherRAT, distribuito utilizzando Node.js precedentemente installato.

Secondo gli esperti, EtherRAT utilizza gli smart contract di Ethereum per il controllo, rendendo gli aggressori resistenti al blocco. Il malware interroga simultaneamente nove provider RPC pubblici di Ethereum e seleziona il risultato in base al voto a maggioranza, proteggendo dall’avvelenamento di un singolo nodo o di un sinkhole.

Ogni 500 millisecondi, il malware invia URL casuali, simili agli indirizzi CDN, al suo server di comando e controllo ed esegue il codice JavaScript restituito tramite AsyncFunction. Questo fornisce agli aggressori una shell Node.js interattiva a tutti gli effetti.

Secondo gli analisti, gli hacker nordcoreani hanno già utilizzato contratti intelligenti per distribuire malware. Questa tecnica, chiamata EtherHiding, è stata descritta in report di Google e GuardioLabs . Sysdig osserva inoltre che il pattern di download crittografato in EtherRAT corrisponde a quello del malware BeaverTail, utilizzato nella campagna Contagious Interview collegata alla Corea del Nord.

Il rapporto sottolinea inoltre l’estrema aggressività di EtherRAT nei sistemi Linux. Il malware utilizza cinque meccanismi per insediarsi nel sistema infetto:

• cron;
• iniezione in bashrc;
• Avvio automatico XDG;
• servizio utente systemd;
• iniezione nel profilo.

Un’altra caratteristica unica di EtherRAT è la sua capacità di auto-aggiornamento. Il malware carica il suo codice sorgente su un endpoint API e riceve codice sostituito con le stesse funzionalità ma con un offuscamento diverso. Il malware si sovrascrive quindi e avvia un nuovo processo con il payload aggiornato. Secondo i ricercatori, questo aiuta a eludere i meccanismi di rilevamento statici, può ostacolare l’analisi o aggiungere funzionalità specifiche.

Nel suo rapporto, Sysdig fornisce un breve elenco di indicatori di compromissione relativi all’infrastruttura di distribuzione EtherRAT e ai contratti Ethereum. I ricercatori raccomandano di verificare la presenza dei meccanismi di persistenza elencati, di monitorare il traffico RPC di Ethereum, di monitorare i log delle applicazioni e di ruotare regolarmente le credenziali.

L'articolo React2Shell sfruttata da Lazarus? Nasce EtherRAT, il malware che vive sulla blockchain proviene da Red Hot Cyber.

For as long as there have been supercomputers, people like us have seen the announcements and said, “Boy! I’d love to get some time on that computer.” But now that most of us have computers and phones that greatly outpace a Cray 2, what are we doing with them? Of course, a supercomputer today is still bigger than your PC by a long shot, and if you actually have a use case for one, [Stephen Wolfram] shows you how you can easily scale up your processing by borrowing resources from the Wolfram Compute Services. It isn’t free, but you pay with Wolfram service credits, which are not terribly expensive, especially compared to buying a supercomputer.

[Stephen] says he has about 200 cores of local processing at his house, and he still sometimes has programs that run overnight. If your program already uses a Wolfram language and uses parallelism — something easy to do with that toolbox — you can simply submit a remote batch job.

What constitutes a supercomputer? You get to pick. You can just offload your local machine using a single-core 8GB virtual machine — still a supercomputer by 1980s standards. Or you get machines with up to 1.5TB of RAM and 192 cores. Not enough for your mad science? No worries, you can map a computation across more than one machine, too.

As an example, [Stephen] shows a simple program that tiles pentagons:

When the number of pentagons gets large, a single line of code sends it off to the cloud:

RemoteBatchSubmit[PentagonTiling[500]]

The basic machine class did the work in six minutes and 30 seconds for a cost of 5.39 credits. He also shows a meatier problem running on a 192-core 384GB machine. That job took less than two hours and cost a little under 11,000 credits (credit cost from just over $4/1000 to $6/1000, depending on how many you buy, so this job cost about $55 to run). If two hours is too much, you can map the same job across many small machines, get the answer in a few minutes, and spend fewer credits in the process.

Supercomputers today are both very different from old supercomputers and yet still somewhat the same. If you really want that time on the Cray you always wanted, you might think about simulation.

hackaday.com/2025/12/10/your-s…

There’s a type of dust-collector that’s been popular since the 1990s, where a cube of acrylic or glass is laser-etched in a three-dimensional pattern. Some people call them bubblegrams. While it could be argued that bubblegrams are a sort of 3D display, they’re more like a photograph than a TV. [Ancient] had the brainwave that since these objects work by scattering light, he could use them as a proper 3D video display by controlling the light scattered from an appropriately-designed bubblegram.

Appropriately designed, in this case, means a point cloud, which is not exactly exciting to look at on its own. It’s when [Ancient] adds the colour laser scanning projector that things get exciting. Well, after some very careful alignment. We imagine if this was to go on to become more than a demonstrator some sort of machine-vision auto-aligning would be desirable, but [Ancient] is able to conquer three-dimensional keystoning manually for this demonstration. Considering he is, in effect, projection-mapping onto the tiny bubbles in the crystal, that’s impressive work. Check out the video embedded below.

With only around 38,000 points, the resolution isn’t exactly high-def, but it is enough for a very impressive proof-of-concept. It’s also not nearly as creepy as the Selectric-inspired mouth-ball that was the last [Ancient] project we featured. It’s also a lot less likely to take your fingers off than the POV-based volumetric display [Ancient] was playing DOOM on a while back.

For the record, this one runs the same DOOM port, too– it’s using the same basic code as [Ancient]’s other displays, which you can find on GitHub under an MIT license.

Thanks to [Hari Wiguna] for the tip.

youtube.com/embed/wrfBjRp61iY?…

hackaday.com/2025/12/10/volume…