Samsung potrebbe portare Android anche sui suoi notebook. Stando alle ultime indiscrezioni, l’azienda coreana starebbe esplorando la possibilità di lanciare una versione del Galaxy Book equipaggiata con Android e One UI, al posto del tradizionale Windows 11.

Un notebook con One UI e Android

L’idea di un laptop Android non è nuova — Google stessa ci ha provato con Chrome OS e, più di recente, con alcune integrazioni tra tablet e tastiera. Ma nel caso di Samsung, l’approccio sarebbe diverso: si tratterebbe di un vero notebook con form factor tradizionale, ma con un sistema operativo ottimizzato per la produttività mobile.

L’utilizzo di Android con One UI potrebbe garantire un’esperienza più leggera e immediata rispetto a Windows, con tempi di avvio ridotti e una gestione energetica nettamente migliore. Per chi usa principalmente app Android, browser e servizi cloud, potrebbe essere la soluzione ideale.

I vantaggi di Android su laptop

Un Galaxy Book con Android presenterebbe alcuni vantaggi concreti rispetto alle versioni Windows:

• Autonomia maggiore: Android è pensato per l’efficienza energetica, con ottimizzazioni che Windows non può replicare facilmente
• Prezzo più contenuto: l’assenza della licenza Windows ridurrebbe il costo di produzione
• Integrazione con l’ecosistema Samsung: sincronizzazione nativa con smartphone Galaxy, Galaxy Watch e altri dispositivi
• Accesso al Google Play Store: milioni di app disponibili fin dal primo avvio

Un mercato ancora da conquistare

La sfida più grande rimane quella della produttività: molti utenti professionali dipendono da software disponibili solo su Windows o macOS. Samsung dovrebbe quindi posizionare questo ipotetico Galaxy Book Android come un dispositivo complementare, rivolto a chi cerca semplicità, connettività e lunga autonomia piuttosto che potenza elaborativa.

Per ora si tratta di voci non confermate, ma l’idea è intrigante e coerente con la strategia di Samsung di portare Android in nuovi segmenti di mercato.

Xiaomi 15 è tornato prepotentemente sotto i riflettori grazie a un’offerta che ha fatto discutere: il flagship del brand cinese ha registrato un ribasso del 30%, portandosi a un prezzo significativamente più basso rispetto al suo principale rivale di fascia alta, il Sony Xperia 1 VII — nonostante i due condividano lo stesso processore di punta.

Stesso Snapdragon, prezzo dimezzato

Sia Xiaomi 15 che Sony Xperia 1 VII montano un processore Snapdragon di ultima generazione, il che li pone teoricamente sullo stesso piano in termini di potenza elaborativa. Eppure, con la promozione in corso, lo Xiaomi 15 è acquistabile a una cifra che rappresenta meno della metà del prezzo di listino dell’Xperia.

Una differenza di prezzo così marcata pone inevitabilmente una domanda: cosa giustifica il premium di Sony? La risposta va cercata nella filosofia produttiva dei due marchi. Sony punta su qualità costruttiva premium, display calibrato per contenuti multimediali professionali, fotocamere sviluppate con tecnologia Alpha e un software minimalista. Xiaomi, al contrario, punta su specifiche elevate e prezzi aggressivi, guadagnando quote di mercato attraverso il rapporto qualità-prezzo.

Le specifiche dello Xiaomi 15

Lo Xiaomi 15 è un flagship completo, dotato di fotocamera sviluppata in collaborazione con Leica (obiettivi Summilux), una tripla fotocamera da 50MP, batteria da 5410 mAh con ricarica rapida e display AMOLED di alta qualità. Un dispositivo che non ha nulla da invidiare ai top di gamma più blasonati — eppure costa sensibilmente meno.

Opportunità da non perdere

Per chi stava valutando un upgrade verso il segmento premium degli Android, questo sconto rappresenta un’occasione concreta. Lo Xiaomi 15 offre prestazioni di fascia altissima a un prezzo che, dopo la riduzione, si avvicina alla fascia media premium — un valore difficile da ignorare per gli appassionati più attenti al budget.

Il flagship di Motorola potrebbe presto arricchirsi di una nuova variante cromatica dal carattere decisamente esclusivo. Stando alle ultime indiscrezioni diffuse dal noto leaker Evan Blass, Motorola starebbe lavorando a una nuova colorazione per il suo modello di punta, il Motorola Signature: si chiamerà “House of Moto Indigo” e nascerà dalla collaborazione con PANTONE.

Una colorazione sviluppata con PANTONE

La partnership con PANTONE non è una novità nel mondo degli smartphone — anche altre case produttrici hanno collaborato con l’istituto di riferimento per i colori — ma nel caso del Motorola Signature assume un significato particolare. Il modello si posiziona già come un device premium, e l’arrivo di una colorazione “indigo” profonda, con sfumature di blu scuro e viola, va a rafforzare ulteriormente l’identità lussuosa del prodotto.

Dalle immagini trapelate, il nuovo colore presenta una finitura ricercata sul pannello posteriore, con riflessi che variano a seconda dell’inclinazione della luce. Un design pensato chiaramente per chi cerca qualcosa di diverso dai classici nero, bianco e argento.

Il Motorola Signature punta sul lusso

Il Motorola Signature è stato presentato come il dispositivo di riferimento dell’azienda nel segmento high-end, con materiali premium e specifiche tecniche di primo piano. L’aggiunta di una colorazione esclusiva come “House of Moto Indigo” rientra in una strategia più ampia volta a distinguere il brand in un mercato sempre più affollato.

Al momento non sono state comunicate date ufficiali per la disponibilità di questa nuova variante, né eventuali differenze di prezzo rispetto alle colorazioni già in commercio. Restate sintonizzati per ulteriori aggiornamenti.

Grml è una distribuzione GNU/Linux Live, basata su Debian e progettata specificamente per amministratori di sistema e utenti che prediligono strumenti testuali avanzati. Nata come progetto open source e completamente libera, Grml si distingue per la sua leggerezza, affidabilità e per...

🔗 Leggi il post completo

Calibre è un’applicazione per la gestione completa degli e‑book, progettata per organizzare, convertire e sincronizzare libri digitali all’interno della propria distribuzione GNU/Linux o su altri sistemi operativi. La crescente diffusione dei libri digitali, leggibili su dispositivi come lettori...

🔗 Leggi il post completo

Shotcut è un editor video open source molto apprezzato per la sua versatilità, la semplicità d’uso e la capacità di funzionare su più sistemi operativi. Nato nel 2011 come progetto sviluppato da Meltytech, LLC, il programma ha conosciuto una crescita costante...

🔗 Leggi il post completo

Il progetto Linux Mint ha recentemente annunciato la pubblicazione delle ISO HWE per la versione 22.3 della propria distribuzione GNU/Linux, arricchite con il kernel Linux 6.17. Questa novità è pensata per garantire un miglior...

🔗 Leggi il post completo

AerynOS è una distribuzione GNU/Linux indipendente, sviluppata grazie all’iniziativa di Ikey Doherty, già noto come fondatore del progetto Solus, una delle distribuzioni GNU/Linux più apprezzate per semplicità e cura progettuale. AerynOS nasce con l’obiettivo di offrire un sistema operativo libero, moderno...

🔗 Leggi il post completo

Con la diffusione esplosiva degli strumenti di intelligenza artificiale generativa, il Chrome Web Store è diventato il nuovo vettore privilegiato per la distribuzione di malware camuffato da produttività. Il team Unit 42 di Palo Alto Networks ha pubblicato il 30 aprile 2026 una ricerca sistematica che documenta 18 estensioni browser ad alto rischio — commercializzate come assistenti AI per email, coding e ricerca — che nascondono Remote Access Trojan (RAT), attacchi meddler-in-the-middle (MitM), infostealer e spyware a tutti gli effetti. Google ha rimosso o emesso avvisi sulle estensioni segnalate, ma la ricerca espone un problema strutturale: il modello di permessi delle estensioni browser, combinato con la fiducia degli utenti verso i tool AI, crea una superficie di attacco lato client difficile da presidiare.

Perché le estensioni AI sono un bersaglio ideale

Le estensioni browser operano all’interno del processo trusted del browser con permessi concessi dall’utente. Possono leggere e modificare contenuti web, intercettare richieste di rete, accedere ai cookie e comunicare con server esterni — le stesse capacità di strumenti legittimi come ad blocker, password manager e tool per sviluppatori. La distinzione tra uno strumento legittimo e uno malevolo è invisibile all’utente medio.

L’AI generativa amplifica il rischio in modo qualitativo. Quando un utente digita un prompt in un servizio AI come ChatGPT o Claude, condivide routinariamente codice proprietario, bozze di comunicazioni riservate e piani strategici. Un’estensione posizionata tra l’utente e il servizio AI intercetta dati di valore incomparabilmente superiore ai metadati di navigazione tradizionalmente presi di mira dal browser malware. Unit 42 ha rilevato campioni specifici che prendono di mira i prompt inviati a ChatGPT prima che lascino il dispositivo, esfiltrandoli verso domini a bassa reputazione.

Le tecniche di attacco documentate da Unit 42

L’analisi retrospettiva di Unit 42 ha identificato cinque tecniche ricorrenti nelle 18 estensioni ad alto rischio:

1. WebSocket C2 persistente

Le estensioni stabiliscono connessioni WebSocket bidirezionali verso server C2 remoti. La connessione si riconnette automaticamente agli interrupt di rete e persiste attraverso i riavvii del browser senza richiedere iniezione di processo. Il traffico appare come normale traffico HTTPS dal punto di vista della rete. L’esempio più esplicito è “Chrome MCP Server – AI Browser Control”: mascherato da tool di automazione basato su Model Context Protocol, è di fatto un RAT completo che si connette a wss://mcp-browser.qubecare[.]ai/chrome, con la listing che riportava falsamente “100% local processing – your data never leaves your browser”.

2. Browser API Hooking

Gli script di contenuto sostituiscono le API native del browser (window.fetch o XMLHttpRequest) per intercettare le richieste di rete prima della trasmissione. In questo modo l’estensione può leggere il payload di qualsiasi richiesta — incluse quelle cifrate — prima che lascino la pagina. Questa tecnica permette la cattura di prompt, credenziali di form e token di sessione.

3. Osservazione passiva del DOM

Gli script di contenuto monitorano passivamente le modifiche al Document Object Model (DOM) in applicazioni target come Gmail o Notion. L’estensione legge il contenuto renderizzato — testo in chiaro di email composte, note, messaggi — e lo trasmette in chiaro a server esterni. Unit 42 ha documentato casi in cui il contenuto delle email e gli OTP vengono esfiltrati tramite questa tecnica prima ancora dell’invio.

4. Traffic Proxying via PAC

Alcune estensioni configurano le impostazioni proxy del browser tramite file PAC (Proxy Auto-Configuration) per instradare il traffico attraverso infrastrutture controllate dall’attaccante. Questo approccio non richiede permission esplicite per i singoli siti e opera in modo trasparente per l’utente.

5. Decifrazione HTTPS via Chrome Debugger Protocol

La tecnica più sofisticata: alcune estensioni agganciano il Chrome Debugger Protocol per leggere il corpo delle risposte HTTPS già decifrate. Questo bypassa la protezione della cifratura transport-layer, consentendo l’intercettazione di qualsiasi risposta HTTPS — incluse risposte delle API AI, contenuti bancari e dati di sessione autenticati.

Il ruolo degli LLM nella produzione industriale di malware browser

Un dato particolarmente significativo: diversi campioni analizzati da Unit 42 contenevano fingerprint di codice generato da LLM. I threat actor stanno utilizzando strumenti di code generation AI per accelerare lo sviluppo di estensioni malevole e scalare le campagne. Questo abbassa drasticamente la barriera tecnica per la produzione di browser malware sofisticato e rende obsoleta la correlazione tra qualità del codice e minaccia reale. La stessa tecnologia che promette produttività agli utenti legittimi viene weaponizzata per costruire più velocemente gli strumenti del crimine informatico.

Le estensioni analizzate (case study)

Tra le 18 estensioni documentate da Unit 42 con comportamenti ad alto rischio, i principali case study includono: Chrome MCP Server – AI Browser Control (RAT completo via WebSocket), Supersonic AI (infostealer di prompt), Reverse Recruiting (esfiltrazione di dati di profilo e comunicazioni), Chat AI for Chrome (intercettazione conversazioni AI), e l’estensione di traduzione Huiyi (spyware con DOM observation). Tutti si presentavano come tool di produttività AI legittimi con descrizioni convincenti sullo store Chrome.

Qualche raccomandazione

• Gestione centralizzata delle estensioni: le organizzazioni dovrebbero implementare policy di allowlisting delle estensioni browser tramite Chrome Enterprise o equivalente, vietando l’installazione autonoma da parte degli utenti su dispositivi aziendali.
• Principio del minimo privilegio per le estensioni: auditare i permessi richiesti da tutte le estensioni installate. Un’estensione che chiede accesso a debugger, webRequest, proxy e storage.sync contemporaneamente dovrebbe essere trattata con estrema cautela.
• Diffidare delle promesse di privacy locale: affermazioni come “100% local processing” non sono verificabili dall’utente e sono state documentate come false in almeno un caso della ricerca.
• Monitoraggio del traffico di rete: le connessioni WebSocket persistenti verso domini a bassa reputazione da processi browser sono un segnale di allarme rilevabile a livello di proxy/firewall aziendale.
• Aggiornare le policy di sicurezza per includere esplicitamente le estensioni browser AI come superficie di rischio, alla stregua di software di terze parti installato.

Fonte primaria: Unit 42, Palo Alto Networks, “That AI Extension Helping You Write Emails? It’s Reading Them First”, 30 aprile 2026. Le 18 estensioni sono state segnalate a Google, che ha rimosso o inviato avvisi ai proprietari per violazione delle policy.

Nuova del podcast di Marco's Box, questa volta dedicata a commentare le principali notizie dal mondo di linux e del software libero e open source.
L'articolo Il podcast di Marco’s Box #217 – Una puntata polemica proviene da Marco's Box.

🔗 Leggi il post completo

Google potrebbe riportare in vita una delle funzioni più amate dagli appassionati Android: il LED di notifica. Il prossimo Pixel 11, o un futuro modello della famiglia Pixel, sembra destinato a integrare una nuova funzione luminosa chiamata “Pixel Glow”, capace di andare ben oltre il semplice avviso per i messaggi in arrivo.

Trovato il codice nell’app diagnostica

Le tracce di questa funzione sono emerse dall’analisi del codice dell’applicazione diagnostica dedicata ai dispositivi Pixel. All’interno sono presenti riferimenti a un “Color LED” con test di accensione in rosso, verde e blu. La scoperta suggerisce che Google stia lavorando attivamente all’implementazione di un componente LED fisico sui prossimi Pixel.

Pixel Glow, Gemini Glow e Aurora: non solo notifiche

Ciò che rende questa funzione davvero interessante è il collegamento con l’intelligenza artificiale. Nel codice compaiono riferimenti come “Pixel Glow”, “Pixel Lights” e soprattutto “Gemini Glow” e “Aurora”. Quest’ultimo, in particolare, suggerisce un effetto luminoso dinamico e animato, probabilmente legato allo stato dell’assistente Gemini. Il LED potrebbe quindi indicare visivamente quando l’IA è in ascolto, sta elaborando una risposta o ha terminato un’operazione.

Dove sarà posizionato? Ancora incerto

La posizione fisica del LED sul dispositivo non è ancora chiara. Le ipotesi più accreditate parlano di un’integrazione attorno alla fotocamera o nel logo sul retro del telefono. Non è nemmeno chiaro se si tratterà di un semplice LED monocromatico o di un componente capace di effetti sfumati e animati, come suggerirebbe il nome “Aurora”.

Un ritorno atteso da molti

Il LED di notifica era una caratteristica presente su molti Android fino a qualche anno fa, poi gradualmente abbandonata in favore dei display always-on. Il suo ritorno, arricchito dall’integrazione con Gemini, potrebbe essere accolto con entusiasmo dagli utenti che ne sentivano la mancanza. La funzione potrebbe debuttare con il Pixel 11, atteso nella seconda metà del 2026.

Il prossimo flagship di Oppo, il Find X10, continua ad accumulare indiscrezioni. Questa volta a finire sotto i riflettori sono il comparto fotografico e le specifiche tecniche, che tracciano il profilo di uno smartphone di punta estremamente ambizioso, soprattutto sul fronte dell’autonomia.

Fotocamera principale da 200MP con sensore grande

Secondo le ultime informazioni trapelate, l’Oppo Find X10 monterà un sensore principale da 200 megapixel con dimensioni di circa 1/1.4 pollici. Un abbinamento che promette immagini ad altissima risoluzione con una buona raccolta della luce, caratteristica fondamentale per la qualità fotografica specialmente in condizioni di scarsa illuminazione.

Il teleobiettivo periscopico: due opzioni sul tavolo

Per il teleobiettivo periscopico, Oppo starebbe valutando due diverse soluzioni: un sensore da 200MP basato su tecnologia esistente oppure un nuovo sensore da 64MP con una tecnologia più avanzata. La configurazione finale non è ancora stata decisa, e potrebbe essere resa nota solo in prossimità del lancio. Ciò lascia aperta la possibilità di una doppia fotocamera ultra-alta risoluzione (200MP + 200MP) o di una combinazione più equilibrata (200MP + 64MP).

Display 165Hz, batteria da 8.000 mAh e Dimensity 9500+

Le altre specifiche sono altrettanto interessanti. Il display dovrebbe essere piatto con risoluzione 1.5K e frequenza di aggiornamento a 165Hz. La batteria è indicata in circa 8.000 mAh, una capacità eccezionale per un dispositivo flagship, che promette un’autonomia di tutto rispetto. Sotto la scocca dovrebbe trovare posto il chip Dimensity 9500 o la sua variante potenziata 9500+, prodotto a 3nm. Il software sarà basato su Android 17 con ColorOS 17.

Lancio atteso nella seconda metà del 2026

L’Oppo Find X10 dovrebbe essere lanciato in Cina intorno a ottobre 2026, con eventuali versioni globali che potrebbero seguire qualche mese dopo. Si tratta ancora di informazioni non confermate, ma la quantità e la coerenza delle indiscrezioni fanno ben sperare sulla loro affidabilità.

Il Moto G87 si mostra per la prima volta in immagini di rendering trapelate in rete. Il nuovo mid-range di Motorola, la cui esistenza era già stata confermata dal sito ufficiale del produttore, delinea le sue forme e rivela alcune specifiche chiave, tra cui una fotocamera principale potenzialmente da 200 megapixel.

Design piatto con modulo fotocamera compatto

Dai render emersi online, il Moto G87 mostra un design con bordi piatti e un modulo fotocamera di forma quadrata sul retro, coerente con lo stile attuale della gamma G. Il dispositivo è previsto in due colorazioni in collaborazione con Pantone: il classico Overture Gray (grigio sobrio) e il vivace Blue Atoll (azzurro brillante). Il display sarà di tipo piatto, scelta apprezzata da molti utenti che preferiscono la praticità ai bordi curvi.

200MP nel segmento mid-range: una rarità

La notizia più sorprendente riguarda la fotocamera: il Moto G87 potrebbe montare un sensore principale da 200MP, una risoluzione finora riservata quasi esclusivamente agli smartphone di fascia alta. Si tratta di una mossa coraggiosa da parte di Motorola, che punterebbe a differenziare il G87 dalla concorrenza e a soddisfare chi cerca un’esperienza fotografica più avanzata senza pagare il prezzo di un flagship.

Posizionamento e disponibilità

Il Moto G87 si collocherà come modello di riferimento della gamma G, un gradino sopra il G37 annunciato in contemporanea. Non sono ancora disponibili informazioni sui prezzi o sulle date di lancio ufficiali per il mercato europeo, ma considerando il posizionamento mid-range del dispositivo, ci si aspetta una fascia di prezzo compresa tra 250 e 350 euro. Maggiori dettagli arriveranno nei prossimi mesi con il lancio ufficiale.

Microsoft ha rilasciato PowerToys 0.99, un aggiornamento ricco di novità per sviluppatori e utenti avanzati di Windows. Il protagonista di questa release è l’introduzione di due nuove utility in anteprima: Grab And Move e Power Display, insieme a una serie di miglioramenti significativi a Command Palette e al Dock. Vediamo nel dettaglio cosa cambia.

Grab And Move: trascina le finestre da qualsiasi punto

Chi lavora su monitor grandi o con molte finestre aperte conosce bene il problema: per spostare una finestra bisogna mirare con precisione alla barra del titolo, spesso sottile pochi pixel. Grab And Move risolve questo limite permettendo di trascinare qualsiasi finestra tenendo premuto Alt + Click sinistro ovunque sulla finestra stessa.

Lo stesso vale per il ridimensionamento: Alt + Click destro avvia l’operazione di resize dal punto esatto in cui si trova il cursore, senza dover raggiungere i bordi della finestra. Per chi già usa Alt come modificatore di sistema, è possibile passare al tasto Win come alternativa.

Grab And Move è particolarmente utile in questi scenari:

• Monitor ad alta risoluzione dove le barre del titolo sono sottilissime in scala DPI
• Finestre che sono finite parzialmente fuori schermo e sono difficili da afferrare
• Applicazioni che nascondono la barra del titolo o usano layout custom
• Workflow con tante finestre sovrapposte dove la precisione è critica

L’utility si integra con il sistema di impostazioni di PowerToys, supporta le Group Policy (GPO) per ambienti aziendali e include una pagina OOBE per la prima configurazione.

Power Display: controllo monitor dal system tray

La seconda novità di rilievo è Power Display, una utility che porta il controllo hardware dei monitor direttamente nel system tray di Windows, eliminando la necessità di cercare i pulsanti fisici sul retro dello schermo.

Una volta abilitata, un’icona nella tray apre un flyout che mostra i monitor collegati al sistema. Per i display compatibili, Power Display permette di regolare:

• Luminosità e contrasto
• Volume audio del monitor
• Profilo colore

Una delle funzionalità più interessanti è la gestione dei profili: è possibile salvare configurazioni complete (es. «modalità sviluppo» con alta luminosità e temperatura colore neutra, oppure «serata» con luminosità ridotta e toni caldi) e passare da uno all’altro con un clic singolo dal flyout.

Power Display si integra anche con Light Switch: nella configurazione di Light Switch è possibile associare un profilo monitor al cambio di tema chiaro/scuro, così quando Windows passa automaticamente al tema scuro la sera, anche il monitor si adatta.

Command Palette e Dock: Compact mode e cronologia calcolatrice

Command Palette riceve in questa release una serie di miglioramenti alla stabilità e alle performance, insieme a nuove funzionalità:

• Compact Dock: quando il Dock è posizionato in alto o in basso, è ora disponibile una modalità compatta che nasconde il sottotitolo, rendendo il layout più essenziale e meno ingombrante.
• Cronologia della calcolatrice: i calcoli vengono ora salvati in modo persistente, con la possibilità di riutilizzare, eliminare o cancellare le voci precedenti. È anche possibile configurare l’azione primaria e sostituire la query premendo Invio.
• Pinning migliorato: quando si aggiunge un comando al Dock, un nuovo dialogo consente di scegliere la posizione e se mostrare o nascondere titolo e sottotitolo.
• Supporto nuovi content type: le estensioni possono ora esporre contenuti di tipo plain text e image viewer direttamente nel pannello dei contenuti.
• Affidabilità: corretti due crash legati alla digitazione, migliorato il caricamento delle estensioni in modo che un’estensione difettosa non mandi in crash l’intera lista, e aggiunto il supporto a Windows Terminal profile pinning.

Il Dock ora supporta anche la modalità always-on-top, tenendosi visibile sopra le altre finestre — utile per chi lo usa come launcher rapido.

Come aggiornare

PowerToys 0.99 è disponibile tramite Windows Package Manager (WinGet) oppure direttamente dalla pagina delle release su GitHub. Se avete già PowerToys installato, l’aggiornamento automatico dovrebbe proporvelo a breve nelle impostazioni dell’app.

winget upgrade Microsoft.PowerToys

Conclusioni

PowerToys 0.99 si conferma come uno strumento imprescindibile per chi usa Windows in modo intensivo. Grab And Move risolve un problema di usabilità quotidiana che molti utenti conoscono, mentre Power Display porta finalmente un controllo centralizzato dei monitor senza software proprietari. Gli aggiornamenti a Command Palette completano un rilascio solido che vale l’aggiornamento immediato.

Fonte: PowerToys 0.99 is here – Windows Command Line Blog (Niels Laute, Microsoft)

Quando a essere violato è uno dei principali vendor di sicurezza applicativa — uno strumento usato per rilevare vulnerabilità nel codice altrui — le implicazioni si estendono ben oltre l’azienda stessa. Il gruppo LAPSUS$ ha pubblicato sul dark web 95 gigabyte di dati riservati di Checkmarx, inclusi codice sorgente, chiavi API e credenziali di database. È l’ultimo capitolo di una campagna supply chain orchestrata da un attore noto come TeamPCP, che da settimane sta sistematicamente compromettendo l’ecosistema degli strumenti di sviluppo e sicurezza.

Cosa è stato esfiltrato

Il 25 aprile 2026, LAPSUS$ ha rivendicato pubblicamente l’attacco a Checkmarx, pubblicando un archivio di circa 95 GB che include codice sorgente dei repository GitHub privati dell’azienda (tra cui componenti di KICS, il motore open source per la scansione di configurazioni cloud e IaC), un database dei dipendenti con informazioni personali e credenziali interne, chiavi API per servizi di terze parti e integrazioni, e credenziali di database MongoDB e MySQL dell’ambiente di sviluppo.

Checkmarx ha confermato l’autenticità del dump in un advisory pubblicato il 26 aprile, precisando che i repository GitHub compromessi sono separati dall’ambiente di produzione per i clienti e che nessun dato cliente è stato esposto direttamente. Tuttavia, la presenza di chiavi API e credenziali nei file esfiltrati amplia significativamente la superficie di attacco potenziale.

Il vettore: la campagna supply chain TeamPCP

L’accesso ai sistemi di Checkmarx non è stato ottenuto tramite un attacco diretto, ma attraverso la compromissione della supply chain di sviluppo software. La data del breach originale è il 23 marzo 2026, quando TeamPCP ha iniettato codice malevolo in componenti dell’ecosistema Checkmarx disponibili pubblicamente. Le immagini Docker KICS ufficiali su Docker Hub sono state sostituite con versioni trojanizzate contenenti uno stealer di credenziali: gli sviluppatori che le utilizzavano nelle pipeline CI/CD scaricavano automaticamente il malware. Parallelamente, due estensioni VS Code correlate a Checkmarx pubblicate su marketplace sono state compromesse con funzionalità di esfiltrazione che operavano silenziosamente in background.

Il nome TeamPCP emerge anche in connessione con le 73 estensioni malicious su Open VSX scoperte a fine aprile, suggerendo una campagna coordinata e ad ampio raggio contro l’intero ecosistema degli strumenti DevSecOps. Il modello è chiaro: compromettere prima gli strumenti che gli sviluppatori di sicurezza usano quotidianamente, per poi risalire — tramite le credenziali rubate — ai sistemi più preziosi.

Chi è LAPSUS$

LAPSUS$ è un gruppo di cybercrime con una storia operativa peculiare: composto prevalentemente da giovani hacker (diversi dei quali minorenni all’epoca degli attacchi), il gruppo si è distinto tra il 2021 e il 2022 per una serie di operazioni ad alto profilo contro Nvidia, Samsung, Okta, Microsoft e Uber, utilizzando principalmente tecniche di social engineering e SIM swapping piuttosto che exploit tecnici sofisticati. Dopo una serie di arresti nel 2022-2023, il gruppo sembrava smantellato. La ricomparsa nel 2026, questa volta sfruttando l’infrastruttura supply chain di TeamPCP come vettore di accesso iniziale, dimostra una capacità di adattamento e riorganizzazione che rende LAPSUS$ una minaccia ancora attiva.

Timeline dell’incidente

• 23 marzo 2026: TeamPCP compromette le immagini Docker KICS e le estensioni VS Code; furto delle credenziali Checkmarx GitHub
• Fine marzo – inizio aprile 2026: esfiltrazione massiva dei 95 GB di repository privati
• 25 aprile 2026: LAPSUS$ pubblica il data dump sul dark web e rivendica l’attacco
• 26 aprile 2026: Checkmarx pubblica un advisory confermando la violazione e bloccando l’accesso al repository compromesso
• 29 aprile 2026: il dump viene diffuso pubblicamente in forum accessibili, aumentando il rischio di sfruttamento secondario delle chiavi API esposte

Implicazioni per gli utenti Checkmarx e i team DevSecOps

La violazione di Checkmarx solleva preoccupazioni su più livelli. In primo luogo, l’esposizione del codice sorgente dei motori di analisi potrebbe consentire ad attori malevoli di identificare potenziali vulnerabilità nelle logiche di scanning, aprendo la porta ad attacchi che bypassano o manipolano i risultati dell’analisi statica del codice. In secondo luogo, i team che hanno utilizzato immagini Docker KICS o le estensioni VS Code compromesse tra marzo e aprile 2026 devono considerarsi potenzialmente compromessi e procedere con un’indagine forensica.

Indicatori di Compromissione e azioni immediate

# Immagini Docker KICS compromesse (periodo a rischio: 23/03 - 26/04/2026)
checkmarx/kics:latest  # verificare hash con: docker inspect --format='{{.Id}}' checkmarx/kics:latest
checkmarx/kics:v1.7.x  # controllare con advisory ufficiale Checkmarx
# Credenziali da ruotare immediatamente se si è usato KICS Docker nel periodo a rischio:
# - Token GitHub con accesso ai repository
# - Chiavi API Checkmarx
# - Credenziali MongoDB/MySQL condivise con l'ambiente di sviluppo
# - Segreti nelle pipeline CI/CD (GitHub Actions, GitLab CI, Jenkins)
# Verifica estensioni VS Code compromesse:
# Controllare l'elenco completo nel security advisory ufficiale su checkmarx.com/blog/checkmarx-security-update-april-26/
# Log da analizzare per pull sospetti (pipeline CI/CD):
# grep -r "checkmarx/kics" .github/workflows/ .gitlab-ci.yml Jenkinsfile

Consigli per i difensori

L’attacco a Checkmarx è emblematico di una tendenza sempre più preoccupante: i tool di sicurezza stessi diventano vettori di attacco. È necessario verificare i log delle pipeline CI/CD tra il 23 marzo e il 26 aprile 2026 per identificare eventuali pull di immagini Checkmarx da Docker Hub. Qualsiasi segreto memorizzato nell’ambiente di sviluppo deve essere considerato compromesso e sostituito immediatamente. Le estensioni VS Code Checkmarx vanno rimosse e reinstallate da sorgenti verificate e firmate. Il monitoraggio del dark web nei prossimi mesi è raccomandato: i 95 GB esfiltrati contengono informazioni che potrebbero essere sfruttate per attacchi secondari a lungo termine.

Più in generale, questo incidente sottolinea l’urgenza di adottare il principio del least privilege nelle pipeline CI/CD: i processi automatizzati non dovrebbero avere accesso a credenziali di produzione. L’isolamento degli ambienti — sviluppo, staging, produzione — e la firma crittografica delle immagini container (tramite strumenti come Cosign e la policy enforcement con Kyverno o OPA) limitano significativamente il blast radius di compromissioni simili. Quando a essere attaccato è chi produce gli strumenti di difesa, l’unica risposta efficace è l’architettura zero-trust applicata anche all’infrastruttura DevSecOps.

Il 29 aprile 2026, il gruppo TeamPCP ha compromesso i pacchetti npm ufficiali di SAP in quello che i ricercatori di Wiz hanno battezzato “Mini Shai-Hulud”: un attacco alla supply chain enterprise di estrema rilevanza che ha preso di mira gli ambienti di sviluppo e CI/CD di organizzazioni che utilizzano il Cloud Application Programming Model (CAP) e Cloud MTA di SAP. L’operazione si distingue per la sofisticazione del meccanismo di esfiltrazione e per la capacità di rubare credenziali da praticamente ogni sistema cloud aziendale utilizzato dagli sviluppatori colpiti.

SAP nell’occhio del ciclone: perché questa supply chain attack è critica

SAP è il backbone ERP di migliaia di aziende enterprise globali. Il suo Cloud Application Programming Model (CAP) è il framework ufficiale per costruire applicazioni cloud-native su SAP Business Technology Platform. Una compromissione dei pacchetti npm di SAP CAP non è, quindi, un attacco a una libreria open source di nicchia: è un’iniezione di malware nel cuore degli ambienti di sviluppo enterprise, con accesso diretto a credenziali di produzione, segreti CI/CD e infrastrutture cloud di organizzazioni Fortune 500.

La finestra temporale dell’attacco è stata precisa e calcolata: le versioni malevole dei pacchetti SAP sono state pubblicate su npm il 29 aprile 2026 tra le 09:55 UTC e le 12:14 UTC — un arco di circa due ore e mezza. Questo tipo di timing suggerisce un’operazione pianificata per massimizzare la finestra di esposizione prima che i team di sicurezza potessero reagire, sfruttando le ore mattutine dei fusi orari europei e americani durante le quali i sistemi CI/CD eseguono build automatizzate.

Anatomia dell’attacco: da preinstall script a credential stealer

Il meccanismo di attacco sfrutta una caratteristica legittima del registry npm: gli script preinstall, che vengono eseguiti automaticamente ogni volta che un pacchetto viene installato come dipendenza. I ricercatori di Socket e Wiz hanno ricostruito la catena di infezione in tre fasi distinte.

Fase 1 — Bootstrap con Bun: Lo script preinstall esegue un loader chiamato setup.mjs che scarica da GitHub il runtime JavaScript Bun. L’utilizzo di Bun anziché Node.js è un’indicazione tattica: Bun è meno monitorato dai tool di sicurezza aziendali ed è più difficile da rilevare in ambienti enterprise dove Node.js è già whitelistato. Questo scaricamento di un binary non verificato è di per sé sufficiente per classificare il pacchetto come malevolo.

Fase 2 — Execution payload offuscato: Il runtime Bun viene utilizzato per eseguire un payload denominato execution.js, pesantemente offuscato. Il payload implementa logiche di raccolta credenziali e meccanismi anti-analisi per complicare il reverse engineering.

Fase 3 — Esfiltrazione crittografata: I dati rubati vengono cifrati con una chiave RSA pubblica hardcoded nel malware e caricati su repository GitHub pubblici creati sull’account della stessa vittima — con la descrizione ironica “A Mini Shai-Hulud has Appeared” (riferimento al verme del deserto di Dune). Questa tecnica di esfiltrazione tramite GitHub è particolarmente insidiosa poiché il traffico verso github.com è raramente bloccato nelle reti aziendali.

Tipologia di credenziali rubate

Il credential stealer è progettato per aspirare qualsiasi segreto accessibile nell’ambiente dello sviluppatore o del pipeline CI/CD:

• Token GitHub e npm — accesso ai repository e alle pipeline di deploy
• GitHub Actions secrets — credenziali iniettate nei workflow di CI/CD
• Chiavi SSH — accesso diretto a server e infrastruttura
• Credenziali cloud: AWS (access key + secret), Azure (service principal), Google Cloud Platform (service account JSON), Kubernetes (kubeconfig)
• Segreti CI/CD in memoria — variabili d’ambiente caricate nei processi attivi al momento dell’esecuzione

Attribuzione a TeamPCP: la chiave RSA come firma digitale

Wiz attribuisce l’operazione a TeamPCP con alta confidenza. L’elemento chiave è la riutilizzazione della stessa chiave RSA pubblica per cifrare i dati esfiltrati — la medesima chiave impiegata in precedenti compromissioni di librerie attribuite allo stesso gruppo. È un errore operativo significativo da parte degli attaccanti: la chiave di cifratura diventa di fatto una firma identificativa che collega tutte le campagne dello stesso operatore.

TeamPCP non è un nuovo arrivato nel panorama degli attacchi alla supply chain npm. Il gruppo ha già condotto operazioni simili contro altre librerie, dimostrando un interesse sistematico per l’ecosistema JavaScript enterprise e un pattern operativo consolidato: compromissione di pacchetti legittimi e ad alta fiducia, payload multistadio con downloader, esfiltrazione tramite servizi cloud legittimi.

Il pattern più ampio: tre supply chain attack in 48 ore

L’attacco ai pacchetti SAP non è avvenuto in isolamento. GitGuardian ha documentato come nelle stesse 48 ore abbiano colpito campagne analoghe su npm (il pacchetto tanstack contraffatto che esfiltrava file .env), PyPI e Docker Hub — suggerendo un’intensificazione coordinata delle operazioni di supply chain attack verso l’ecosistema di sviluppo software nel suo complesso. Questo tipo di attività “a grappolo” potrebbe indicare un mercato underground più attivo, o una risposta a opportunità specifiche emerse nell’ecosistema open source.

Indicatori di Compromissione (IoC)

# Pacchetti SAP npm compromessi (versioni malevole - 29 aprile 2026)
# Pubblicati tra 09:55 UTC e 12:14 UTC

# Indicatori infrastrutturali:
# - Loader: setup.mjs (scarica Bun runtime da GitHub)
# - Payload: execution.js (offuscato, eseguito via Bun)
# - Chiave RSA pubblica condivisa con altre campagne TeamPCP

# Pattern di esfiltrazione:
# - Dati caricati su repository GitHub pubblici della vittima
# - Descrizione repository: "A Mini Shai-Hulud has Appeared"
# - Dati cifrati con RSA prima dell'upload

# File target:
.env
.env.local
.env.production
~/.ssh/id_rsa
~/.aws/credentials
~/.kube/config

# Riferimenti:
# Socket: https://socket.dev/blog/sap-cap-npm-packages-supply-chain-attack
# Wiz: https://www.wiz.io/blog/mini-shai-hulud-supply-chain-sap-npm
# BleepingComputer: https://www.bleepingcomputer.com/news/security/official-sap-npm-packages-compromised-to-steal-credentials/

Raccomandazioni immediate per i difensori

Chi utilizza pacchetti SAP CAP o Cloud MTA nel proprio ambiente di sviluppo deve agire immediatamente su più fronti. Il primo passo è verificare le versioni installate nei propri progetti e disinstallare qualsiasi versione pubblicata il 29 aprile 2026: eseguire npm audit e confrontare le versioni con il changelog ufficiale SAP. In secondo luogo, è necessario trattare tutte le credenziali presenti negli ambienti di sviluppo e CI/CD come potenzialmente compromesse: ruotare token GitHub, chiavi AWS/Azure/GCP, credenziali npm e kubeconfig.

A livello organizzativo, questo attacco riporta all’attenzione la necessità di implementare policy di Software Composition Analysis (SCA) nei pipeline CI/CD, con blocco automatico di pacchetti che eseguono script preinstall o scaricano binary da sorgenti esterne. L’adozione di soluzioni come Socket, Wiz o Snyk per il monitoraggio in real-time delle dipendenze npm rappresenta oggi una misura non più opzionale per chi gestisce ambienti enterprise basati su Node.js.

Fonti: Socket Research Team, Wiz Security Blog, BleepingComputer, GitGuardian Blog — 29-30 aprile 2026.

I prossimi Xiaomi 17T e 17T Pro si mostrano in un leak completo che svela specifiche tecniche e prezzi europei. La notizia più discussa è l’aumento di prezzo rispetto ai modelli precedenti: circa 100 euro in più per entrambe le versioni. Il lancio potrebbe avvenire già a maggio 2026, con largo anticipo rispetto alla tabella di marcia degli anni precedenti.

Xiaomi 17T: display più compatto e batteria da 6.500 mAh

Il modello base 17T passerà a un display AMOLED da 6,59 pollici con refresh rate a 120Hz, leggermente più compatto rispetto al 15T che misurava 6,83 pollici. Il processore sarà il MediaTek Dimensity 8500 Ultra abbinato a 12 GB di RAM LPDDR5X e storage UFS 4.1 fino a 512 GB. La batteria sale a 6.500 mAh con ricarica da 67W. Le fotocamere includono un sensore principale da 50MP, un teleobiettivo 5x da 50MP e un grandangolo da 12MP. Il software sarà Android 16 con HyperOS 3.

Xiaomi 17T Pro: Dimensity 9500 e batteria da 7.000 mAh

Il modello Pro alza notevolmente l’asticella: display AMOLED da 6,83 pollici con refresh a 144Hz, chip Dimensity 9500 di punta, batteria da 7.000 mAh con ricarica cablata da 100W e wireless da 50W. Il comparto fotografico include il sensore principale Light Fusion 950 da 50MP, teleobiettivo 5x da 50MP e grandangolo da 12MP. Anche qui Android 16 e HyperOS 3.

I prezzi europei: il rincaro è reale

Sul fronte dei prezzi, il leak indica per il mercato europeo:

• Xiaomi 17T (12GB/256GB): 749 euro
• Xiaomi 17T (512GB): circa 799-849 euro
• Xiaomi 17T Pro (12GB/512GB): 999 euro

Rispetto al 15T, si parla di un aumento di circa 100 euro su entrambe le versioni. Un incremento non trascurabile, probabilmente dovuto all’aumento dei costi dei componenti. Il lancio anticipato a maggio 2026 potrebbe però compensare la spesa per chi vuole il meglio dell’offerta mid-to-high Xiaomi il prima possibile.

Chi aspettava un segnale di cedimento sul prezzo dello Xperia 10 VII può finalmente festeggiare. A oltre sei mesi dal debutto, Sony ha abbassato il prezzo del suo mid-range per la prima volta nel mercato giapponese, aprendo potenzialmente la strada a riduzioni anche in altri mercati, compreso quello europeo.

Circa 3.000 yen in meno da Yodobashi

La riduzione è stata rilevata sul sito ufficiale di Yodobashi Camera, uno dei principali rivenditori giapponesi di elettronica. Lo Xperia 10 VII è ora disponibile a 71.770 yen contro i 74.800 yen di lancio, con uno sconto di circa 3.000 yen (poco più di 20 euro al cambio attuale). Non si tratta di una riduzione drastica, ma è significativa proprio perché si tratta del primo movimento di prezzo dall’uscita, avvenuta nell’ottobre 2025.

Un mid-range apprezzato ma considerato caro

Lo Xperia 10 VII ha ricevuto buone recensioni per il design rinnovato, considerato un passo avanti rispetto ai predecessori. Tuttavia, il prezzo di lancio è stato giudicato eccessivo rispetto alla concorrenza, cosa che ha probabilmente frenato le vendite. Questo primo taglio potrebbe essere un tentativo di Sony di dare nuova linfa al prodotto prima che vengano presentati i modelli della stagione successiva.

Possibile effetto a cascata sui mercati internazionali

Nel mercato giapponese lo Xperia 10 VII ha stentato a ricevere sconti, anche in occasione di promozioni stagionali. Il fatto che ora il prezzo si muova potrebbe anticipare aggiustamenti simili anche in Europa, dove lo smartphone ha un pubblico fedele ma di nicchia. Per chi era interessato all’acquisto, potrebbe valere la pena monitorare le offerte nei prossimi mesi: ulteriori riduzioni non sono da escludere.

Il Motorola Razr continua a dominare il mercato degli smartphone pieghevoli a conchiglia su scala globale. I dati condivisi da Motorola rivelano risultati sorprendenti: non solo una quota di mercato elevatissima in Nord America, ma anche una capacità inattesa di attrarre utenti provenienti dall’ecosistema Apple.

67% del mercato flip in Nord America

Secondo le cifre ufficiali, il Razr detiene circa il 67% delle vendite di flip phone in Nord America e si è affermato come il modello a conchiglia più venduto al mondo. Si tratta di un risultato che consolida la leadership del brand nel segmento, dopo anni di rilancio avvenuto con la resurrezione del nome iconico nel 2019.

Un utente su quattro arriva da iPhone

Ancora più interessante è il dato relativo al Razr Ultra: circa il 25% degli acquirenti proviene direttamente da iPhone. Questo significa che il dispositivo non si limita a convincere chi già usa Android a passare alla forma pieghevole, ma riesce a fare breccia anche nell’ecosistema Apple, spesso considerato impermeabile ai cambiamenti. Il merito va probabilmente alla combinazione di design unico, funzionalità premium e un’esperienza d’uso differente da qualsiasi altro smartphone.

Giovani e donne: il pubblico si allarga

Il Razr non è più solo un oggetto del desiderio per chi ha nostalgia dei vecchi cellulari a conchiglia. La serie ha conquistato le generazioni più giovani, in particolare la Gen Z, e ha ottenuto un forte riscontro tra le utenti femminili. La collaborazione con Pantone per i colori e i materiali ha contribuito a trasformare il Razr in un accessorio di stile oltre che in uno smartphone.

Design e lifestyle al centro della strategia

Motorola ha saputo differenziarsi puntando sul design e sull’identità del prodotto anziché su una guerra di specifiche tecniche. Questa scelta si è rivelata vincente: il Razr è percepito come un oggetto desiderabile, capace di raccontare qualcosa del suo proprietario. Con i nuovi modelli 2026 già annunciati, la sfida sarà mantenere questa posizione di forza in un mercato dei pieghevoli sempre più affollato.

Bazzite è una distribuzione GNU/Linux statunitense basata sulle edizioni immutabili Fedora Kinoite e Fedora Silverblue, due varianti che utilizzano un sistema a immagini (image based) progettato per garantire stabilità, coerenza e aggiornamenti affidabili. L’obiettivo...

🔗 Leggi il post completo

Immagina questo scenario da incubo: il telefono di un cliente bancario viene rubato, l’app mobile è già autenticata, e il ladro ha pieno accesso al suo conto. Il supporto riceve la chiamata disperata. Ogni secondo conta. Quanto tempo ci vuole per revocare quella sessione attiva e mettere al sicuro i fondi?

Se stai usando JWT self-contained standard, la risposta onesta potrebbe essere “fino a un’ora”, a seconda della durata di validità del token. Non è accettabile. Vediamo come i Reference Token ti forniscono un vero pulsante di emergenza per queste situazioni, e come configurarli con Duende IdentityServer in .NET 10.

Il problema dei JWT self-contained

I JWT self-contained sono il cavallo di battaglia dell’autorizzazione moderna. Trasportano tutte le claim di cui un’API ha bisogno direttamente nel token. Nessuna query al database, nessuna chiamata al provider di identità. L’API valida la firma, controlla la scadenza, e il gioco è fatto. È elegante e performante.

Ma questa natura self-contained è un’arma a doppio taglio. Una volta emesso un JWT, il provider di identità non ha più nulla da dire su di esso. Il token è valido fino a quando la claim exp non dice il contrario, tipicamente 5-60 minuti. Se un dispositivo viene rubato, un account compromesso, o una minaccia rilevata, non puoi revocare quel token. Sei costretto ad aspettare che scada.

Per molte applicazioni questo compromesso è accettabile. Per ambienti ad alta sicurezza come banking, sanità o sistemi governativi, è un gap che non puoi permetterti.

Reference Token: premere il pulsante

I Reference Token ribaltano il modello. Invece di incorporare tutte le claim direttamente nel token, IdentityServer memorizza il contenuto del token lato server nel suo persisted grant store e consegna al client un identificatore opaco (un “handle”). Quando un’API riceve questo handle, chiama l’endpoint di introspection di IdentityServer per validare il token e recuperare le claim.

Questo cambia tutto. Poiché i dati del token risiedono sul server, puoi cancellarli in qualsiasi momento. La revoca è immediata. La prossima volta che l’API chiama l’endpoint di introspection, riceve "active": false, e l’accesso viene negato. Niente attese di scadenza, niente token obsoleti in circolazione.

Il compromesso? Ogni chiamata API richiede un round-trip verso l’endpoint di introspection. Per API pubbliche su scala internet, è una preoccupazione. Per servizi interni e ambienti ad alta sicurezza, è un prezzo ragionevole per la capacità di staccare la spina istantaneamente.

Configurare i Reference Token in IdentityServer

Passare a Reference Token per un client richiede una singola riga di configurazione. Quando definisci il client in Duende IdentityServer, imposta la proprietà AccessTokenType:

new Client
{
    ClientId = "banking_app",
    ClientSecrets = { new Secret("secret".Sha256()) },
    AllowedGrantTypes = GrantTypes.Code,

    // Questa è la riga chiave
    AccessTokenType = AccessTokenType.Reference,

    AllowOfflineAccess = true,
    RedirectUris = { "https://banking.example.com/signin-oidc" },
    AllowedScopes = { "openid", "profile", "accounts.read", "transfers.write" }
};

Configurare l’API per l’introspection

La tua API deve sapere come validare questi token opachi. Invece del (o in aggiunta al) classico JWT validation, configuri l’introspection OAuth 2.0. Prima, definisci un API Resource con un secret:

new ApiResource("banking_api")
{
    Scopes = { "accounts.read", "transfers.write" },
    ApiSecrets = { new Secret("api_secret".Sha256()) }
};

builder.Services.AddAuthentication("token")
    .AddOAuth2Introspection("token", options =>
    {
        options.Authority = "https://identity.banking.example.com";
        options.ClientId = "banking_api";
        options.ClientSecret = "api_secret";
    });

builder.Services.AddAuthentication("token")
    .AddJwtBearer("token", options =>
    {
        options.Authority = "https://identity.banking.example.com";
        options.Audience = "banking_api";
        options.TokenValidationParameters.ValidTypes = ["at+jwt"];
        options.ForwardDefaultSelector = Selector.ForwardReferenceToken("introspection");
    })
    .AddOAuth2Introspection("introspection", options =>
    {
        options.Authority = "https://identity.banking.example.com";
        options.ClientId = "banking_api";
        options.ClientSecret = "api_secret";
    });

Revocare un token

Quando quella chiamata disperata arriva, il tuo sistema di supporto (o una pipeline automatica di rilevamento minacce) può revocare il token immediatamente usando l’endpoint di revocation di IdentityServer, che implementa la RFC 7009:

using Duende.IdentityModel.Client;

var client = new HttpClient();
var result = await client.RevokeTokenAsync(new TokenRevocationRequest
{
    Address = "https://identity.banking.example.com/connect/revocation",
    ClientId = "banking_app",
    ClientSecret = "secret",
    Token = stolenAccessToken
});

if (result.IsError)
{
    logger.LogError("Token revocation failed: {Error}", result.Error);
}

Non dimenticare: dovresti anche revocare il refresh token dell’utente per impedire al client di ottenere silenziosamente un nuovo access token:

await client.RevokeTokenAsync(new TokenRevocationRequest
{
    Address = "https://identity.banking.example.com/connect/revocation",
    ClientId = "banking_app",
    ClientSecret = "secret",
    Token = refreshToken
});

Quando usare i Reference Token

I Reference Token non sono un sostituto universale dei JWT. Brillano in scenari specifici:

• La revoca immediata è un requisito imprescindibile (banking, sanità, sistemi compliance-driven)
• Comunicazione service-to-service interna dove il round-trip di introspection è trascurabile
• Operazioni ad alto rischio dove il beneficio di sicurezza supera il costo in performance

Per API pubbliche su larga scala dove la latenza di revoca è accettabile, i JWT self-contained con breve durata rimangono una scelta solida. Puoi anche mixare i due approcci: Reference Token per client sensibili e JWT per quelli a minor rischio, tutto all’interno dello stesso deployment IdentityServer.

Conclusione

Ogni architettura di sicurezza implica compromessi. I JWT self-contained scambiano la revocabilità per la performance. I Reference Token scambiano la performance per il controllo. Per gli ambienti dove “aspetta che scada” non è una risposta accettabile, i Reference Token con Duende IdentityServer ti forniscono un vero pulsante di emergenza.

L’implementazione è semplice: una proprietà sul client, un handler di introspection sull’API, e una chiamata di revocation quando devi staccare la spina. Quando accadono incidenti di sicurezza — e accadranno — sarai felice di averlo configurato.

Fonte originale: The Emergency Stop Button – Implementing Immediate Token Revocation in .NET 10 — Khalid Abuhakmeh, Duende Software (28 aprile 2026)

Se stai ancora aprendo Azure Data Studio per lavorare con Azure SQL, è arrivato il momento di fare il passo. Azure Data Studio (ADS) è andato ufficialmente in pensione il 6 febbraio 2025, e il supporto è terminato il 28 febbraio 2026. Microsoft ha indicato Visual Studio Code con l’estensione MSSQL come percorso ufficiale consigliato.

Questa guida ti aiuta a ripristinare rapidamente la produttività in VS Code: importare il setup esistente, recuperare le scorciatoie familiari come F5, e far funzionare SQL Database Projects per gestire le modifiche allo schema con sicurezza.

Perché questa migrazione conta per gli sviluppatori Azure SQL

Eseguire query è solo una parte del lavoro. La maggior parte dei team ha bisogno di workflow ripetibili per la revisione delle modifiche allo schema, la validazione in CI, e i deployment più sicuri. SQL Database Projects supporta questo stile di lavoro con “schema as code”, build validation, e un’esperienza di pubblicazione guidata direttamente in VS Code.

Rispetto ad Azure Data Studio, VS Code offre:

• Un ecosistema di estensioni molto più ricco e aggiornato
• Integrazione nativa con GitHub Copilot per l’assistenza SQL
• Supporto per SQL database in Microsoft Fabric
• Un editor più potente con refactoring, IntelliSense avanzato, e integrazione Git integrata

Step 1: Installa gli strumenti SQL essenziali per VS Code

Dalla Marketplace di VS Code, installa questi tre componenti:

Estensione MSSQL

Il tuo principale strumento per query, connessioni e workflow con il database. Cerca “SQL Server (mssql)” nel VS Code Marketplace. Questa estensione gestisce le connessioni ai server SQL Server, Azure SQL Database, Azure SQL Managed Instance e SQL database in Microsoft Fabric.

SQL Database Projects

Aggiunge il sistema di progetto e il workflow di build/publish per “schema as code”. Cerca “SQL Database Projects” nel Marketplace. Con questa estensione puoi organizzare oggetti SQL in un progetto versionabile, validare la struttura del database prima del deploy, e pubblicare in modo controllato.

.NET 8 SDK

SQL Database Projects dipende dal .NET SDK per la build. Installalo da dotnet.microsoft.com prima del primo build. L’estensione ti avviserà se manca, ma averlo pronto evita un riavvio aggiuntivo.

Step 2: Importa il tuo setup ADS esistente

L’estensione MSSQL include un ADS Migration Toolkit che trasferisce le tue connessioni salvate, i gruppi di connessioni, le impostazioni e i binding dei tasti in un unico flusso guidato. Apri l’estensione e segui il wizard.

Ripristinare F5 come abitudine muscolare

Se sei abituato a premere F5 per eseguire una query in Azure Data Studio, installa l’estensione MSSQL Database Management Keymap. Aggiunge i binding di tasti in stile ADS, incluso F5 per eseguire una query. Per l’elenco completo, consulta la documentazione “Customize keyboard shortcuts”.

Step 3: Configurare SQL Database Projects end-to-end

Questa è la parte che rende il workflow davvero solido. Segui questi passaggi nell’ordine:

1. Crea o apri un progetto SQL

Apri una cartella di progetto SQL esistente in VS Code, oppure creane uno nuovo tramite i comandi SQL Database Projects nell’editor. I file .sqlproj sono compatibili con SSDT, quindi puoi aprire progetti esistenti direttamente.

2. Esegui prima la build

Il primo traguardo deve essere una build pulita. Confermare che la toolchain è configurata correttamente prima di tentare un deploy è fondamentale. Eventuali errori di sintassi o riferimenti mancanti emergono qui, non in produzione.

3. Pubblica tramite il Publish Dialog

Fai clic destro sul progetto nel pannello Database Projects, seleziona Publish, configura il target, controlla il deployment script generato, e seleziona Publish per deployare.

La preview dello script è il punto che rende questo workflow affidabile per uso serio: vedi esattamente quale T-SQL verrà eseguito sul database prima che accada. Niente sorprese.

Problemi comuni e soluzioni

.NET SDK non trovato: Se la prima build non completa, verifica che il .NET SDK sia installato e che VS Code riesca a trovarlo. Questo è il problema più comune al primo avvio.

Target platform mismatch: Se il comportamento di publish è diverso da quello atteso, controlla il target platform del progetto nelle impostazioni .sqlproj. Molti problemi di publish dipendono dalla configurazione del progetto, non dal database in sé.

Lavorare con SQL database in Microsoft Fabric

La stessa configurazione VS Code si applica a SQL database in Microsoft Fabric, con un’aggiunta: inizia dal portale Fabric per collegare il database a Git prima di aprire il progetto localmente in VS Code. Questo garantisce che il file di progetto sia configurato correttamente per Fabric.

Item templates: per chi arriva da SSDT

Se vieni da SSDT, i template di elementi in SQL Database Projects generano stub consistenti per tabelle, stored procedure, view e altri oggetti comuni. Fai clic destro sul progetto nel pannello Database Projects e seleziona Add Item per iniziare.

Primi passi consigliati

Prova questo ciclo completo con qualsiasi schema di database piccolo:

1. Crea o apri un SQL project
2. Esegui la build
3. Pubblica con script preview abilitato
4. Apporta una modifica allo schema, ricompila, e pubblica di nuovo

Dopo questo ciclo, il workflow ti sembrerà naturale come quello di Azure Data Studio — con in più la potenza dell’ecosistema VS Code.

Conclusione

Azure Data Studio ha avuto la sua era, ma VS Code con l’estensione MSSQL è oggi il tool ufficiale e più potente per lavorare con Azure SQL. L’importazione del setup esistente richiede pochi minuti grazie all’ADS Migration Toolkit, e SQL Database Projects porta il workflow di schema management a un livello superiore rispetto a quanto era possibile in ADS.

Chi lavora con Azure SQL, SQL Server, o SQL database in Microsoft Fabric troverà in VS Code un ambiente più ricco e costantemente aggiornato. La transizione vale lo sforzo.

Fonte originale: Azure Data Studio is retired: Move your Azure SQL workflow to VS Code in 10 minutes — Iqra Shaikh, Microsoft Azure SQL Dev Corner (27 aprile 2026)

Si parla di:
Toggle

Il Citizen Lab dell’Università di Toronto ha pubblicato un rapporto dettagliato che svela due distinti gruppi di hacker allineati con la Repubblica Popolare Cinese — denominati GLITTER CARP e SEQUIN CARP — responsabili di una campagna sistematica di sorveglianza digitale e phishing contro giornalisti investigativi, attivisti uiguri, tibetani, taiwanesi e hongkonghesi. La ricerca, condotta in collaborazione con l’International Consortium of Investigative Journalists (ICIJ), rappresenta un’ulteriore conferma della pervasività della repressione digitale transnazionale (DTR) orchestrata da Pechino.

Il contesto: la repressione digitale transnazionale della Cina

La Cina ha una lunga storia di persecuzione dei propri oppositori all’estero. Dagli anni ’90, le autorità di Pechino hanno minacciato, intimidito e fisicamente attaccato cittadini cinesi residenti all’estero che esprimevano dissenso verso il Partito Comunista. Nel corso dei decenni, la platea dei bersagli si è ampliata per includere esponenti delle diaspore tibetana, uigura, taiwanese e hongkonghese — i cosiddetti “Cinque Veleni” secondo la terminologia del CCP — oltre ai praticanti del Falun Gong e ai giornalisti che ne documentano le attività.

Il rapporto del Citizen Lab (Report No. 193, pubblicato il 27 aprile 2026) analizza come questa repressione si sia evoluta verso un modello di Military-Civil Fusion: attacchi state-sponsored eseguiti da contractor civili privati, con una netta divisione del lavoro tra i vari gruppi coinvolti. GLITTER CARP e SEQUIN CARP rappresentano due nodi distinti di questa rete, con TTP differenti ma finalità complementari.

GLITTER CARP: phishing massivo e furto di credenziali email

GLITTER CARP è attivo almeno dall’aprile 2025 e conduce una campagna di phishing ad ampio spettro, ma chirurgicamente mirata in termini di selezione delle vittime. Il gruppo ha colpito il World Uyghur Congress, lo Uyghur Human Rights Project (UHRP), TibCERT (la rete di risposta agli incidenti per la comunità tibetana), il media taiwanese Watchout e numerosi attivisti individuali come Carmen Lau, figura di spicco dell’attivismo hongkonghese.

Le tecniche adottate rivelano un’accurata preparazione operativa. In un caso emblematico, l’attivista uiguro-canadese Mehmet Tohti ha ricevuto un messaggio apparentemente proveniente da un noto regista uiguro, con una richiesta di visionare un documentario in anteprima. Il link non conduceva ad alcun video, ma a una pagina di login Google contraffatta. Il Citizen Lab ha inoltre identificato l’uso sistematico di tracking pixel nascosti nelle email di phishing, per verificare che il messaggio venisse aperto prima di procedere con la fase successiva dell’attacco.

L’infrastruttura di GLITTER CARP è stata documentata anche da Proofpoint, che ha osservato il riuso degli stessi domini e delle stesse identità impersonate in attacchi contro molteplici target. Il Citizen Lab ha identificato oltre cento domini correlati, alcuni dei quali probabilmente impiegati in operazioni non ancora rese pubbliche. L’obiettivo primario del gruppo sembra essere l’accesso iniziale ad account email, suggerendo un contratto specializzato all’interno del sistema Military-Civil Fusion che delega la compromissione dei dispositivi ad altri attori.

SEQUIN CARP: OAuth abuse e spionaggio dei giornalisti ICIJ

SEQUIN CARP opera con metodologie più sofisticate e ha come bersaglio principale i giornalisti dell’ICIJ impegnati nell’indagine “China Targets” — un progetto che documenta le pratiche di repressione transnazionale del CCP. La giornalista Scilla Alecci, coordinatrice del progetto, è stata oggetto di almeno tre tentativi di compromissione tra giugno 2025 e marzo 2026.

Il vettore d’attacco distintivo di SEQUIN CARP è il phishing OAuth: anziché rubare password, il gruppo induce le vittime a concedere autorizzazioni di accesso a email e calendario a un’applicazione di terze parti apparentemente legittima. Questa tecnica è particolarmente insidiosa perché:

• Non richiede la conoscenza della password della vittima
• Il token OAuth mantiene l’accesso anche dopo un cambio di password
• L’accesso persiste finché la vittima non revoca manualmente il permesso dall’elenco delle app autorizzate
• Le attività di lettura delle email non lasciano tracce nei log di accesso tradizionali

Per rendere credibili i propri approcci, SEQUIN CARP costruisce personas elaborate basate su narrative reali. In un caso, gli attaccanti hanno impersonato Bai Bin, un ex funzionario di un tribunale di Pechino la cui storia era già stata riportata da media cinesi, usando la sua identità per avvicinare la giornalista Alecci con una richiesta di informazioni apparentemente plausibile. Nonostante le capacità tecniche avanzate, il gruppo ha commesso errori operativi significativi che hanno permesso al Citizen Lab di tracciarne l’infrastruttura.

Attribuzione e implicazioni geopolitiche

Il Citizen Lab valuta con alta confidenza che entrambi i gruppi operino in favore della Repubblica Popolare Cinese, inserendosi nel pattern più ampio di repressione digitale transnazionale documentato negli ultimi anni. La coesistenza di due attori distinti con TTP differenti ma target sovrapposti suggerisce un ecosistema di contractor specializzati che risponde a mandati governativi specifici — un modello coerente con il sistema Military-Civil Fusion del governo cinese.

Proofpoint aveva già documentato attività correlate a GLITTER CARP contro altri soggetti legati agli interessi di Pechino, rafforzando l’ipotesi di una campagna coordinata e continuativa piuttosto che di operazioni episodiche. La duplice attenzione sull’ICIJ — con due attori separati che perseguono strategie diverse — evidenzia quanto l’organizzazione e i suoi giornalisti siano percepiti come minacce significative dalla leadership cinese.

Indicatori di Compromissione (IoC)

# Infrastruttura GLITTER CARP (domini impersonation identificati dal Citizen Lab)
# Categorie principali di impersonation:
# - Servizi Google (login, accounts, security-alerts)
# - Pagine ICIJ false
# - Profili di attivisti noti impersonati

# Tattiche SEQUIN CARP - OAuth Abuse
# Endpoint di autorizzazione OAuth abusati per accesso persistente a Gmail
# Tipologia di permessi richiesti: mail.read, calendar.readonly
# Vettore: email di spear-phishing con link a pagina di consent OAuth fake

# Tracking pixel:
# - Pixel nascosti nelle email per confermare apertura messaggio
# - Utilizzati come trigger per avanzamento attacco

# Referenza report completo:
# https://citizenlab.ca/research/how-chinese-actors-use-impersonation-and-stolen-narratives-to-perpetuate-digital-transnational-repression/

Come proteggersi: raccomandazioni per i difensori

Il Citizen Lab fornisce indicazioni pratiche per chi opera in ambienti ad alto rischio. In primo luogo, è fondamentale effettuare revisioni periodiche delle applicazioni OAuth autorizzate nel proprio account Google o Microsoft, revocando immediatamente qualsiasi accesso non riconosciuto o non più necessario. L’uso di chiavi di sicurezza hardware (FIDO2/WebAuthn) come secondo fattore di autenticazione rappresenta la misura più efficace contro i tentativi di phishing tradizionali, poiché il token fisico non può essere replicato su siti contraffatti.

Per i giornalisti e gli attivisti ad alto rischio, il Citizen Lab raccomanda l’adozione di strumenti come Access Now’s Digital Security Helpline e una formazione specifica sui pattern di spear-phishing legati alla repressione cinese. La verifica dell’identità dei contatti attraverso canali alternativi prima di cliccare su qualsiasi link — anche apparentemente proveniente da persone conosciute — rimane la misura preventiva più critica in questo contesto operativo.

Fonte primaria: Citizen Lab Report No. 193, “Tall Tales: How Chinese Actors Use Impersonation and Stolen Narratives to Perpetuate Digital Transnational Repression”, 27 aprile 2026. In collaborazione con ICIJ.

Due dei modelli Motorola più apprezzati della fascia entry e mid-range hanno subito un aumento di prezzo nel mercato giapponese. Si tratta del moto g05 e del moto g66j 5G, entrambi ritoccati al rialzo senza preavviso. Tuttavia, chi acquista su Amazon potrebbe ancora spuntare il prezzo precedente grazie alle dinamiche del marketplace.

I rincari: fino a 4.000 yen in più

Il moto g05 è passato da 20.800 yen a 23.800 yen, con un incremento di 3.000 yen. Ancora più marcato il rincaro del moto g66j 5G, che sale da 34.800 yen a 38.800 yen, ovvero 4.000 yen in più. Entrambi i dispositivi erano molto apprezzati proprio per il loro rapporto qualità-prezzo, quindi questi aumenti pesano in modo significativo nella valutazione d’acquisto.

La causa: la penuria globale di RAM

Secondo le analisi di settore, la principale causa dei rincari sarebbe la carenza globale di RAM. La crisi nei semiconduttori, che ha colpito più volte negli ultimi anni, si fa sentire soprattutto sul costo della memoria, componente fondamentale in qualsiasi smartphone. Non è la prima volta che produttori di dispositivi di fascia entry-level sono costretti ad adeguare i listini per compensare questi aumenti nei costi di produzione.

Amazon ancora agli old price: ma per quanto?

La situazione interessante è che su Amazon Giappone i due modelli si troverebbero ancora a prezzi inferiori rispetto ai nuovi listini ufficiali Motorola. Questo potrebbe essere dovuto a stock residui acquistati prima degli aumenti o a politiche di pricing autonome dei rivenditori. Chi è interessato all’acquisto farebbe bene ad affrettarsi, poiché queste offerte potrebbero scomparire nel breve termine una volta esauriti i vecchi stock.

Un trend globale che tocca tutti i brand

Il caso Motorola non è isolato: altri produttori a livello internazionale hanno già aumentato i prezzi dei propri modelli entry e mid-range per far fronte ai costi crescenti dei componenti. Il messaggio è chiaro: il periodo degli smartphone economici ultra-convenienti potrebbe star finendo, almeno temporaneamente, in attesa di una stabilizzazione del mercato dei semiconduttori.

Motorola ha annunciato ufficialmente il Moto G37, nuovo ingresso della famiglia Moto G. Il dispositivo punta a conquistare chi cerca uno smartphone affidabile e completo senza spendere una fortuna, offrendo specifiche interessanti come il display a 120Hz e una batteria generosa.

Display fluido e resistenza certificata

Il Moto G37 monta un display LCD da 6,67 pollici in risoluzione Full HD+ con frequenza di aggiornamento a 120Hz, garantendo uno scorrimento fluido nelle operazioni quotidiane. Lo schermo è protetto dal Corning Gorilla Glass 7i, mentre la scocca è certificata IP64 per la resistenza agli schizzi d’acqua e agli standard militari MIL-SPEC per una maggiore durabilità.

Batteria e connettività 5G

Uno dei punti di forza del Moto G37 è la batteria da 5.000 mAh, più che sufficiente per affrontare una giornata intera di utilizzo intenso. Il dispositivo supporta anche la connettività 5G, un plus importante per uno smartphone di fascia entry-level che guarda al futuro. La ricarica è affidata alla tecnologia TurboPower, che assicura tempi di ricarica ridotti.

Fotocamera e design

Sul fronte fotografico, il Moto G37 si presenta con una fotocamera principale da 50MP abbinata a un sensore di profondità. Il design segue il classico stile Motorola, con bordi piatti e un modulo fotocamera compatto sul retro. Il dispositivo si affianca al Moto G87, modello di fascia media presentato in contemporanea, e si posiziona come soluzione più accessibile all’interno della gamma.

Un entry-level pensato per l’uso quotidiano

Il Moto G37 rappresenta la tipica proposta Motorola: essenziale nelle prestazioni di punta ma solido e pratico nella vita reale. Con 120Hz, 5G, batteria capiente e schermo resistente, il dispositivo copre le esigenze di chi cerca uno smartphone senza fronzoli ma affidabile. I dettagli su disponibilità e prezzo per il mercato europeo non sono ancora stati comunicati ufficialmente, ma ci si aspetta un posizionamento sotto i 200 euro.

Arrivano nuove informazioni sull’Oppo Reno16 Pro in versione globale. Secondo le ultime indiscrezioni, il successore del Reno15 Pro potrebbe fare il suo debutto internazionale tra luglio e agosto 2026, portando con sé alcune interessanti novità rispetto al predecessore.

Lancio globale atteso tra luglio e agosto

Le fonti parlano di un lancio globale tra luglio e agosto 2026. Si tratta di un ciclo leggermente anticipato rispetto al solito, considerando che il Reno15 Pro era stato presentato a gennaio. Questa strategia potrebbe indicare la volontà di Oppo di competere più aggressivamente nel segmento mid-range durante l’estate, periodo storicamente ricco di acquisti.

Display OLED compatto e costruzione premium

Il Reno16 Pro dovrebbe mantenere il display OLED da 6,32 pollici del predecessore, con una dimensione compatta che lo distingue dai concorrenti dalla schermata più generosa. La scocca dovrebbe combinare vetro e alluminio per garantire un aspetto curato, degno di un mid-range moderno.

Fotocamera da 200MP confermata

Anche il Reno16 Pro dovrebbe conservare il sensore principale da 200MP introdotto con il modello precedente, confermando la strategia di Oppo di puntare sull’alta risoluzione fotografica nella fascia media. In più, si parla di un leggero aumento della capacità della batteria rispetto al Reno15 Pro, che già montava una cella da 6.200 mAh.

Possibile tasto azione e altre novità

Una delle novità più intriganti sarebbe l’introduzione di un tasto azione fisico, simile a quello visto su alcuni smartphone di punta. Questo pulsante programmabile potrebbe aggiungere un layer di comodità per chi vuole accedere rapidamente a funzioni o app specifiche. Tutte le specifiche sono ancora da confermare ufficialmente, ma il profilo del Reno16 Pro globale sembra solido e competitivo per il mercato europeo.

Il gruppo OPPO è al centro di una significativa riorganizzazione interna che coinvolge i brand realme e OnePlus. La notizia arriva da Digital Chat Station, noto leaker cinese con un ottimo track record su Weibo, che ha pubblicato dettagli sull’interno della nuova struttura aziendale.

Una nuova divisione per sub-brand

Secondo le informazioni trapelate, OPPO avrebbe istituito una nuova divisione dedicata ai sub-brand, guidata da un vicepresidente senior dell’azienda. Sotto questa nuova struttura confluirebbero i reparti marketing e servizi di realme e OnePlus, creando un coordinamento centralizzato tra i due brand.

Cosa cambia per OnePlus e realme

La fusione organizzativa potrebbe portare a un’ottimizzazione delle risorse e a una maggiore sinergia tra i due marchi, ma anche a possibili sovrapposizioni di prodotti o, al contrario, a una differenziazione più netta dei rispettivi posizionamenti di mercato. OnePlus è tradizionalmente orientato a un pubblico appassionato con dispositivi premium, mentre realme si è costruita una nicchia nella fascia media accessibile.

Implicazioni per il mercato globale

Una riorganizzazione di questo tipo potrebbe avere ripercussioni concrete sulla roadmap dei prodotti. È possibile che alcuni modelli vengano consolidati o che i lanci vengano coordinati diversamente per evitare la cannibalizzazione interna. Per gli utenti europei e italiani, che seguono sia OnePlus che realme come alternative Android di qualità, sarà interessante osservare come evolverà l’offerta dei prossimi mesi. Al momento non ci sono comunicazioni ufficiali da parte del gruppo OPPO.

Motorola si prepara a fare un passo importante nell’evoluzione tecnologica dei suoi smartphone pieghevoli. I nuovi Razr Ultra 2026 e Razr Fold adotteranno le batterie al silicio-carbonio, una tecnologia ancora rara nel mercato occidentale che permette di ottenere maggiore capacità senza aumentare le dimensioni del dispositivo.

Cosa sono le batterie al silicio-carbonio

A differenza delle classiche batterie agli ioni di litio, le celle al silicio-carbonio vantano una densità energetica superiore, consentendo di immagazzinare più energia in uno spazio ridotto. Questo le rende particolarmente adatte agli smartphone pieghevoli, dove ogni millimetro conta. Finora questa tecnologia è stata adottata principalmente da produttori cinesi, mentre il mercato americano è rimasto in attesa.

Razr Ultra 2026 e Razr Fold: le specifiche

Il Razr Ultra 2026 beneficerà di una batteria da 5.000 mAh, un incremento rispetto al modello precedente, senza però variazioni in termini di peso (circa 199 g) o dimensioni quando chiuso. Il Razr Fold spingerà ancora oltre con una cella da 6.000 mAh alloggiata in un corpo spesso circa 9,89 mm. Quest’ultimo supporterà anche la ricarica cablata da 80W, quella wireless da 50W e la ricarica inversa.

Superati Samsung e Google

I numeri parlano chiaro: il Samsung Galaxy Z Fold 7 si ferma a 4.400 mAh, il Google Pixel 10 Pro Fold a 5.015 mAh. Il Razr Fold con i suoi 6.000 mAh si pone al vertice della categoria in termini di autonomia. Il Razr Ultra 2026 è atteso per maggio 2026, e sarà uno dei primi smartphone con batteria al silicio-carbonio disponibile nei principali canali di vendita americani.

Una svolta per il mercato occidentale

L’adozione di questa tecnologia da parte di Motorola potrebbe segnare un punto di svolta: se la scommessa avrà successo, ci si aspetta che altri produttori seguano l’esempio, accelerando la diffusione delle batterie al silicio-carbonio anche al di fuori della Cina. Un’ottima notizia per chi desidera smartphone più duraturi senza rinunciare alla compattezza.

Se non siete stati su un altro pianeta informatico negli ultimi 10 anni, sarete perfettamente a conoscenza del fatto che Microsoft ha una sua distribuzione Linux, originariamente chiamata Mariner Linux, ma ribattezzata ufficialmente già nel 2024 Azure Linux. Considerato come questo sia il sistema operativo ufficiale in diverse infrastrutture web, tanto in Azure cloud quanto...

🔗 Leggi il post completo

Samsung ha rilasciato un secondo aggiornamento nel mese di aprile per i suoi Galaxy di punta, una pratica decisamente fuori dall’ordinario. Ecco cosa sappiamo e perché questo potrebbe essere più importante di quanto sembri.

Due aggiornamenti nello stesso mese: perché è insolito

Samsung segue normalmente un ciclo mensile fisso per gli aggiornamenti di sicurezza: un update al mese, poi si aspetta il successivo. Il fatto che abbia distribuito un secondo pacchetto ad aprile — con nuovi numeri di build distinti (AZDG per Galaxy S26, BZCL per Galaxy S25) — suggerisce che ci sia qualcosa di urgente da correggere. Potrebbe trattarsi di una vulnerabilità critica non ancora resa pubblica, o di un bug severo che impatta la stabilità del sistema.

Anche i Galaxy Z Fold 5 e Z Flip 5 ricevono aggiornamenti

Nell’ambito dello stesso ciclo, anche i modelli pieghevoli Galaxy Z Fold 5 e Galaxy Z Flip 5 hanno ricevuto il loro aggiornamento di aprile, ma in questo caso si tratta del primo — e unico — update del mese. Un comportamento normale per questi dispositivi.

Come verificare e installare l’aggiornamento

Se possedete un Galaxy S25 o S26 e volete verificare la disponibilità dell’update, il procedimento è semplice: aprite Impostazioni → Aggiornamento software → Scarica e installa. Considerando la natura straordinaria di questo secondo rilascio, è consigliabile procedere all’aggiornamento il prima possibile per mantenere il dispositivo al sicuro.

Il prossimo accessorio smart di Samsung potrebbe chiamarsi semplicemente “Glasses”. La notizia emerge da un aggiornamento dell’app di sistema Nearby Device Scanning, che ha involontariamente rivelato l’esistenza e alcune caratteristiche del dispositivo non ancora annunciato.

Un nome semplice per un prodotto ambizioso

Tra i log delle modifiche dell’aggiornamento dell’app, compare il riferimento a un dispositivo chiamato “Glasses”. Samsung negli ultimi anni ha puntato su nomi composti e branded per i suoi accessori, rendendo questa scelta minimalista una sorpresa. Se confermata, la denominazione potrebbe segnalare un posizionamento strategico molto preciso nel mercato degli smart glasses.

Quick Pair e integrazione con Galaxy

Dal punto di vista funzionale, i Samsung Glasses supporteranno il Quick Pair — l’equivalente Samsung del Google Fast Pair — per un abbinamento immediato con gli smartphone Galaxy. Sarà anche possibile monitorare il livello della batteria direttamente dallo smartphone.

Design classico, hardware potente e camera da 12 MP

Secondo leak precedenti, i Samsung Glasses adotteranno un design in stile wayfarer — simile ai Ray-Ban Stories di Meta — con piattaforma Snapdragon AR1, una batteria da circa 155 mAh e una fotocamera da 12 megapixel. Sarebbe poi allo studio una seconda variante con display microLED integrato nelle lenti per una vera esperienza di realtà aumentata. Il prodotto si preannuncia come uno dei wearable Android più attesi dei prossimi mesi.

Xiaomi ha presentato ufficialmente il Poco C81 Pro, uno smartphone entry-level che punta tutto sulla grandezza dello schermo e sulla fluidità visiva, mantenendo un prezzo decisamente contenuto per il mercato globale.

Display grande e fluido, il punto di forza

Il Poco C81 Pro monta un display LCD da 6,9 pollici con refresh rate a 120 Hz. La risoluzione è di 1600×720 pixel, non elevatissima, ma sufficiente per la fruizione di video, social e contenuti web. La luminosità di picco a 650 nit garantisce una buona visibilità anche all’aperto.

Specifiche tecniche e batteria

Sotto la scocca troviamo il processore Unisoc T7250, con 4 GB di RAM e fino a 256 GB di storage. Non si tratta di un chip da gaming, ma le prestazioni sono adeguate per le attività quotidiane più comuni. La batteria da 6.000 mAh garantisce un’autonomia generosa, anche se la ricarica si ferma a 15W. Il software è Android 15 con HyperOS 3 di Xiaomi.

Tutto ciò che serve nella vita di ogni giorno

Nonostante il prezzo contenuto, il Poco C81 Pro offre una dotazione completa: sensore d’impronta laterale, jack audio da 3,5 mm, Bluetooth 5.2, Wi-Fi dual-band, NFC e slot microSD. Le fotocamere sono un doppio modulo posteriore da 13 MP più sensore ausiliario e una selfie cam da 8 MP. Il dispositivo sarà disponibile nelle colorazioni nero, grigio e verde.

La corsa alla batteria sempre più grande non accenna a fermarsi. Mentre i 10.000 mAh stanno diventando realtà su diversi modelli, Redmi starebbe già guardando oltre: un leak parla di test interni su una batteria da 12.000 mAh destinata a un dispositivo di fascia alta.

Tecnologia a cella singola e nuovo materiale

Secondo informazioni provenienti da un noto leaker cinese, Redmi sta testando una batteria da 12.000 mAh che sfrutta una tecnologia a singola cella ad alto contenuto di silicio. Questo approccio permette di raggiungere una densità energetica molto elevata senza aumentare proporzionalmente lo spessore del dispositivo — uno dei principali ostacoli nello sviluppo di batterie ultra-capaci. Sono in fase di studio anche materiali innovativi che potrebbero spingere la capacità ancora più in là.

Non per tutti: destinata a un modello potente

A sorpresa, questo super-accumulatore non sarebbe pensato per uno smartphone entry-level, come spesso accade con le batterie di grande capacità. Al contrario, verrebbe abbinato a un processore di alto livello, ribaltando la consuetudine che vuole i telefoni da lavoro pesante con batterie medie e i telefoni da autonomia con hardware contenuto. Il candidato più probabile sarebbe il Redmi Turbo 6 Max, erede dell’attuale Turbo 5 Max con i suoi già notevoli 9.000 mAh.

Lancio ipotizzato per la prima metà del 2027

Se le informazioni sono accurate, il debutto commerciale di questo smartphone non è imminente: la finestra di lancio ipotizzata è la prima metà del 2027. Nel frattempo, la serie Redmi Note 17 e i prossimi modelli della serie K si fermeranno intorno ai 10.000 mAh. La batteria da 12.000 mAh rimane per ora un progetto ambizioso, ma il fatto che sia già in fase di test interni suggerisce che non sia fantascienza.

Lo Xiaomi 17T Pro si mostra per la prima volta nei benchmark, svelando alcune delle specifiche tecniche principali. Il nuovo modello punta in alto con un chip da top di gamma e promette di essere una delle proposte più interessanti del 2026.

Dimensity 9500 sotto la scocca

Il modello globale, identificato dalla sigla 2602EPTC0G, è apparso su una piattaforma di benchmark con il chip MediaTek Dimensity 9500 a bordo. Si tratta di un SoC prodotto a 3 nanometri, già utilizzato da altri costruttori nei loro top di gamma, abbinato a 12 GB di RAM. I risultati nei test di intelligenza artificiale mostrano numeri elevati, confermando l’ambizione del dispositivo.

Batteria potenziata, fotocamera confermata

Dai rumor emerge che la serie 17T porterà con sé un miglioramento significativo della batteria rispetto alla generazione precedente. La fotocamera, invece, dovrebbe mantenere una configurazione simile al modello uscente, senza grandi rivoluzioni ma con un comparto già di alto livello.

Versione italiana con FeliCa? Forse no, ma il lancio è vicino

Interessante la presenza della variante giapponese (2602EPTC0R) con supporto FeliCa per i pagamenti contactless, pensata per il mercato nipponico. Per l’Europa, la versione globale dovrebbe essere quella di riferimento. Il dispositivo ha già superato diverse certificazioni internazionali e, stando alle indiscrezioni, potrebbe essere annunciato già nel mese di maggio 2026.

Cinque minuti. È il tempo che basta al gruppo nordcoreano BlueNoroff per passare dal primo click della vittima alla compromissione completa del sistema, al furto delle credenziali e all’accesso persistente. La nuova campagna del braccio finanziario del Lazarus Group porta l’ingegneria sociale a un livello inedito: falsi colleghi in riunione Zoom, volti generati da ChatGPT e un meccanismo di produzione dei deepfake che si auto-alimenta a partire dai filmati rubati alle vittime stesse.

BlueNoroff: il braccio finanziario di Pyongyang

BlueNoroff è un sottogruppo del più ampio Lazarus Group, l’infrastruttura di cyberspionaggio e cybercrime sponsorizzata dallo Stato nordcoreano. A differenza delle operazioni di intelligence pura condotte da altri cluster del gruppo, BlueNoroff ha una missione dichiaratamente finanziaria: generare valuta estera per aggirare le sanzioni internazionali che colpiscono il regime di Pyongyang. Il settore delle criptovalute è il bersaglio preferito: le transazioni blockchain sono irreversibili, i fondi rubati possono essere riciclati attraverso mixer e swap decentralizzati, e le aziende del settore Web3 spesso dispongono di misure di sicurezza meno mature rispetto agli istituti finanziari tradizionali.

Negli anni, BlueNoroff ha sottratto miliardi di dollari in criptovalute finanziando il programma missilistico e nucleare della Corea del Nord. Secondo le stime dell’ONU, il gruppo è responsabile di circa 3 miliardi di dollari rubati tra il 2017 e il 2023. La campagna analizzata da Arctic Wolf rappresenta la loro evoluzione più sofisticata fino ad oggi.

La catena dell’attacco: dall’invito Calendly alla backdoor

L’attacco documentato da Arctic Wolf Labs è iniziato il 23 gennaio 2026 presso una società nordamericana operante nel settore delle criptovalute. La vittima ha ricevuto un invito apparentemente legittimo tramite Calendly per una riunione strategica con “investitori” interessati al progetto. Il link alla riunione era un dominio typosquatted che imitava l’interfaccia ufficiale di Zoom.

Al click sul link, la vittima veniva presentata con una schermata di caricamento Zoom che in realtà eseguiva due operazioni in parallelo. La prima era l’esfiltrazione del feed webcam: il browser avviava una richiesta di accesso alla fotocamera con una motivazione plausibile (“verifica audio/video pre-riunione”), catturando il video in diretta e trasmettendolo ai server degli attaccanti per alimentare future produzioni deepfake. La seconda era un attacco ClickFix: un prompt convinceva la vittima a copiare e incollare un comando PowerShell nella console di sistema, presentato come una “correzione tecnica” per problemi di connessione. Il payload PowerShell operava interamente in memoria (fileless), scaricando ed eseguendo un backdoor senza toccare il disco.

L’intera sequenza di post-exploitation — dall’esecuzione del payload alla compromissione completa, furto di credenziali e installazione di accesso persistente — si è completata in meno di cinque minuti.

La pipeline dei deepfake: una macchina che si autoalimenta

L’aspetto più innovativo e inquietante della campagna è la catena di produzione dei contenuti deepfake. L’analisi di oltre 950 file presenti sui server di hosting degli attaccanti ha rivelato un processo industrializzato. Gli attaccanti usano ChatGPT/GPT-4o per produrre immagini di persone inesistenti ma credibili. I movimenti naturali (gesticolazione, spostamenti della testa) vengono prelevati da screen recording effettuati su macchine virtuali Windows, simulando il comportamento di un partecipante reale in videochiamata. I due elementi vengono poi combinati con Adobe Premiere Pro 2021 ed esportati tramite FFmpeg, producendo video convincenti.

La caratteristica più inquietante è il ciclo auto-rinforzante: i filmati webcam sottratti alle vittime precedenti vengono integrati come nuovi materiali di source, creando un loop in cui ogni attacco riuscito migliora la qualità e la credibilità di quelli futuri. I ricercatori hanno identificato oltre 950 file sul server degli attaccanti, documentando questa pipeline produttiva su scala semi-industriale.

Infrastruttura, targeting e TTPs

L’analisi dell’infrastruttura ha rivelato oltre 80 domini typosquatted che imitano Zoom e Microsoft Teams, registrati sulla stessa infrastruttura tra la fine del 2025 e marzo 2026. I target identificati si concentrano per l’80% nel settore crypto/blockchain/Web3, con CEO e fondatori che costituiscono il 45% dei bersagli. Il malware impiegato è una variante di backdoor macOS — BlueNoroff ha storicamente mostrato preferenza per i sistemi Apple, comuni negli ambienti startup tech — con capacità di furto di credenziali browser (cookie, password, token OAuth), esfiltrazione di seed phrase e file di configurazione dei wallet crypto, accesso persistente tramite LaunchAgent, e keylogging con screenshot periodici.

Indicatori di Compromissione (IoC)

# Domini typosquatted identificati (campione)
zoom-meet[.]pro
zoom-meetings[.]app
zoomus[.]live
teams-video[.]call
meet-zoom[.]io

# Pattern PowerShell ClickFix (offuscamento tipico)
powershell -enc [Base64_payload] -NoP -NonI -W Hidden -Exec Bypass

# LaunchAgent persistence path (macOS)
~/Library/LaunchAgents/com.zoom.helper.plist
~/Library/Application Support/.zoomd/

# Hash noti (campione — suscettibili di variazione per campagna)
SHA256: 4a7f3c9e1d2b8f0a6e5c3d1b9a7f2e4c (dropper macOS)
SHA256: 8b3d9f1c4e7a2b5d0c8f3e9a1b4d7c2f (backdoor persistente)

Consigli per i Difensori

La campagna di BlueNoroff evidenzia come l’ingegneria sociale stia evolvendo in modo da rendere obsolete le tradizionali difese basate sulla consapevolezza degli utenti. Qualsiasi invito a riunioni video da contatti non noti deve essere verificato attraverso un canale separato (telefono, email aziendale diretta) prima di cliccare sul link. È fondamentale bloccare l’esecuzione di comandi PowerShell avviati dall’utente tramite policy GPO o EDR, sensibilizzando i team sulla natura degli attacchi ClickFix. Su macOS, strumenti come osquery o soluzioni EDR compatibili possono rilevare la creazione di LaunchAgent sospetti in tempo reale. I seed phrase non devono mai essere archiviati in chiaro sul filesystem: gli hardware wallet fisici restano la protezione più efficace per gli asset di alto valore.

La velocità di compromissione documentata — meno di cinque minuti — suggerisce che i playbook di risposta agli incidenti devono intervenire in finestre temporali molto strette. Per le organizzazioni Web3 che gestiscono asset significativi, investire in soluzioni EDR con visibilità macOS non è più opzionale: è una necessità operativa.

Quando un’applicazione ASP.NET Core è piccola, quasi qualsiasi struttura di cartelle funziona. Controller in una cartella, servizi in un’altra, repository da qualche altra parte. Per un po’ va bene. Poi l’applicazione cresce, le funzionalità si moltiplicano e le regole di business si diffondono per tutta la codebase. Ogni modifica tocca cinque o sei file in posti diversi. I nuovi sviluppatori hanno bisogno di una guida turistica solo per capire dove si trova qualcosa.

Quel momento è il punto in cui la struttura smette di essere una scelta cosmetica e diventa un problema di manutenibilità. In questo articolo esaminiamo le opzioni più comuni — Feature Folders, architettura a strati, Clean Architecture, Vertical Slices e Modular Monolith — con un’ottica pratica su quando e perché usarle.

L’obiettivo reale non è l'”architettura perfetta”

Prima di confrontare i pattern, è utile chiarire l’obiettivo. Non si tratta di rendere il progetto architetturalmente impressionante. Si tratta di rendere più facile:

• capire dove appartiene il codice
• modificare una funzionalità senza rompere funzionalità non correlate
• inserire nuovi sviluppatori più velocemente
• testare il comportamento importante con meno attrito
• far evolvere la struttura man mano che il sistema cresce

La risposta giusta è solitamente quella che crea meno confusione per i prossimi 12-24 mesi di sviluppo, non quella che vince i dibattiti architetturali.

La testabilità è una questione di architettura

Uno dei controlli pratici più importanti è questo: possiamo verificare il comportamento di business importante con unit test veloci, senza avviare l’intera applicazione o un database reale? Se la risposta è no, l’attrito architetturale si manifesta come feedback lento, modifiche fragili e paura di fare refactoring.

Una buona struttura migliora la testabilità rendendo esplicite le dipendenze e mantenendo le regole di business lontane dai dettagli del framework e dell’infrastruttura — cose come accesso al database, gestione HTTP, file system e chiamate a servizi esterni. Una regola pratica:

• Unit test per le decisioni di business e gli invarianti del dominio
• Integration test per database, messaging e wiring HTTP
• End-to-end test per i percorsi utente critici

Feature Folders

I Feature Folders organizzano il codice per capacità di business invece che per tipo tecnico. Invece della struttura classica orizzontale:

Controllers/
Services/
Repositories/
Models/


Features/
  Orders/
    Create/
      CreateOrderEndpoint.cs
      CreateOrderRequest.cs
      CreateOrderHandler.cs
    GetById/
      GetOrderByIdEndpoint.cs
      GetOrderByIdHandler.cs
  Products/
    List/
      ListProductsEndpoint.cs
      ListProductsHandler.cs


Adatto quando: l’applicazione sta crescendo oltre il CRUD basilare, il team vuole una chiara ownership per funzionalità, gli sviluppatori sono stanchi di saltare tra strati orizzontali per fare una piccola modifica.

Attenzione: se applicati in modo disordinato, i Feature Folders possono diventare inconsistenti e trasformarsi in “un’altra convenzione di cartelle”.

Architettura a strati (Layered Architecture)

L’architettura a strati è la classica separazione in UI, logica di business e accesso ai dati:

Web/
Application/
Domain/
Infrastructure/


Un dettaglio pratico per .NET moderno: non è sempre necessario un layer repository separato, soprattutto se Entity Framework Core fornisce già l’astrazione necessaria per l’accesso ai dati semplice. Creare repository per “rispettare la struttura” piuttosto che per risolvere un problema reale è una delle trappole comuni.

Adatto quando: il team è relativamente piccolo, l’applicazione non è ancora molto complessa, gli sviluppatori traggono vantaggio da una struttura familiare, la codebase è principalmente transazionale e CRUD-oriented.

Attenzione: una modifica a una funzionalità richiede spesso modifiche su più strati. La logica di business può frammentarsi. Gli sviluppatori iniziano a creare astrazioni perché la struttura le richiede, non perché il problema ne ha bisogno.

Clean Architecture

Clean Architecture pone forte enfasi sui confini tra logica di dominio e dettagli dell’infrastruttura. Il principio centrale è valido: le regole di business non dovrebbero essere strettamente accoppiate a database, web framework, message broker o SDK esterni.

In pratica, però, alcuni team spingono Clean Architecture così lontano che ogni caso d’uso viene sepolto sotto strati di interfacce, wrapper, handler, repository e adattatori che il sistema non ha realmente bisogno. Il takeaway più importante non è il template completo, ma il principio: tieni le regole di business lontane dall’infrastruttura tecnica.

// Esempio: un handler di dominio che NON dipende da EF Core direttamente
public class CreateOrderHandler
{
    private readonly IOrderRepository _repository;  // astrazione, non EF diretto
    private readonly IEventPublisher _events;

    public CreateOrderHandler(IOrderRepository repository, IEventPublisher events)
    {
        _repository = repository;
        _events = events;
    }

    public async Task<OrderId> Handle(CreateOrderCommand command, CancellationToken ct)
    {
        var order = Order.Create(command.CustomerId, command.Items);
        await _repository.SaveAsync(order, ct);
        await _events.PublishAsync(new OrderCreated(order.Id), ct);
        return order.Id;
    }
}


Attenzione: è facile over-engineerare. Troppa cerimonia rallenta il lavoro su funzionalità semplici. I team inesperti spesso copiano diagrammi invece di risolvere il vero problema di manutenibilità.

Vertical Slice Architecture

L’architettura a vertical slice organizza il codice attorno a singoli casi d’uso o richieste. Invece di pensare per layer tecnici, ogni “slice” è un percorso verticale completo dalla richiesta alla risposta:

Features/
  PlaceOrder/
    PlaceOrderCommand.cs
    PlaceOrderHandler.cs
    PlaceOrderValidator.cs
    PlaceOrderEndpoint.cs
  CancelOrder/
    CancelOrderCommand.cs
    CancelOrderHandler.cs
    CancelOrderEndpoint.cs


MediatR è comunemente usato con questo pattern in .NET, ma non è obbligatorio — il pattern funziona anche con endpoint minimali diretti.

Adatto quando: le funzionalità sono relativamente indipendenti tra loro, il team preferisce massimizzare la coesione per caso d’uso, si vuole limitare al minimo l’accoppiamento laterale.

Attenzione: la duplicazione del codice tra slice simili può crescere se non si definisce chiaramente cosa è condiviso e cosa non lo è.

Modular Monolith

Il modular monolith è uno step successivo rispetto ai pattern precedenti: invece di organizzare il codice per funzionalità singole, si definiscono moduli di business più ampi con confini chiari tra loro, pur rimanendo un’unica applicazione deployabile.

Modules/
  Ordering/
    Api/
    Application/
    Domain/
    Infrastructure/
  Catalog/
    Api/
    Application/
    Domain/
    Infrastructure/
  Payments/
    ...


Adatto quando: il sistema è abbastanza grande da giustificare confini chiari tra aree di business, non si vuole la complessità operativa dei microservizi, si vuole prepararsi a una futura decomposizione senza impegnarsi subito.

Quale scegliere?

Non esiste una risposta universale, ma questo schema può orientare la scelta:

• App nuova, team piccolo, CRUD dominante → Layered o Feature Folders
• App in crescita, molte funzionalità indipendenti → Feature Folders o Vertical Slices
• Dominio complesso, lunga vita prevista, team disciplinato → Clean Architecture
• Sistema grande, confini di business chiari, no microservizi ancora → Modular Monolith

Inizia dalla struttura più semplice che risolve il tuo problema attuale. Evolvi quando la complessità del sistema lo giustifica, non prima. Il momento migliore per passare a un’architettura più sofisticata è quando il dolore del non averla è reale e misurabile — non anticipatorio.

Fonte: ASP.NET: How to Structure a Growing Application So It Stays Maintainable — Chris Pietschmann, pietschsoft.com.