Dario Fadda ha ricondiviso questo.

Il futuro dell’AI in Ubuntu è nativo, ma Canonical ha già spiegato come potrà essere disabilitata


Ubuntu non diventerà un "AI OS", ma integrerà l'intelligenza artificiale in modo nativo, discreto e rimovibile. Nessun kill switch, ma nessuna imposizione: solo funzionalità utili (testo→voce, messa a fuoco della camera) gestite tramite Snap, per chi le vuole, senza hype. Ecco il futuro dell'AI secondo Canonical.

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Redmi 17 in arrivo: la serie entry-level punta su Snapdragon e 5G


Nuovi dettagli sui prossimi smartphone entry-level di Xiaomi sono emersi dai database IMEI e dai codici di sviluppo interni. Due modelli con i nomi in codice "mist" e "zephyr" stanno già prendendo forma, e puntano a rafforzare la presenza del brand Redmi nel segmento più accessibile del mercato. Due modelli, due mercati diversi I due dispositivi identificati hanno caratteristiche e destinazioni differenti. "Mist" è il modello 5G, dotato del nuovo Snapdragon 4 Gen 4 — il chip […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Nuovi dettagli sui prossimi smartphone entry-level di Xiaomi sono emersi dai database IMEI e dai codici di sviluppo interni. Due modelli con i nomi in codice “mist” e “zephyr” stanno già prendendo forma, e puntano a rafforzare la presenza del brand Redmi nel segmento più accessibile del mercato.

Due modelli, due mercati diversi


I due dispositivi identificati hanno caratteristiche e destinazioni differenti. “Mist” è il modello 5G, dotato del nuovo Snapdragon 4 Gen 4 — il chip entry-level di ultima generazione di Qualcomm — e pensato principalmente per Cina e India. “Zephyr” è invece un modello 4G con Snapdragon 6s 4G Gen 2, destinato a una distribuzione più ampia, con forte probabilità di arrivare anche in Europa e in altri mercati globali.

Nomi commerciali attesi e branding multiplo


Seguendo la tradizione di Xiaomi di rivedere i nomi a seconda del mercato, i due modelli potrebbero presentarsi sotto diverse etichette:

  • Il modello 5G come REDMI Note 17R in Cina o REDMI 17 5G in India, con possibile rebrand POCO in alcuni mercati
  • Il modello 4G come REDMI 17 4G oppure come dispositivo della serie POCO M


Fascia 100-150 dollari nel mirino


Il posizionamento di prezzo atteso per entrambi i modelli si aggira tra i 100 e i 150 dollari, un segmento dove la concorrenza è agguerrita ma Xiaomi ha dimostrato di saper fare la differenza. Portare uno Snapdragon 4 Gen 4 — un chip moderno ed efficiente — in questa fascia di prezzo rappresenta un messaggio chiaro ai concorrenti: anche nell’entry-level la guerra delle prestazioni non si ferma.

Non è ancora confermata una data di lancio ufficiale, ma considerando che i modelli sono già comparsi nei database regolatori, l’annuncio potrebbe avvenire entro l’estate 2026.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

CVE-2026-41940: il bug CRLF di cPanel che ha consegnato 44.000 server al ransomware “Sorry”


Una vulnerabilità critica CVSS 9.8 nel pannello di controllo hosting più diffuso al mondo — sfruttata in silenzio per mesi prima della patch — ha permesso a un gruppo criminale di compromettere oltre 44.000 server e distribuire il ransomware “Sorry”. La tecnica: un’iniezione CRLF nel daemon di autenticazione di cPanel che consente accesso root senza credenziali.
The media in this post is not displayed to visitors. To view it, please go to the original post.

Quando il 28 aprile 2026 WebPros International ha pubblicato la patch per CVE-2026-41940, la vulnerabilità critica nel suo pannello di controllo hosting cPanel & WHM, era già tardi per decine di migliaia di server. Gli attaccanti avevano sfruttato la falla in silenzio almeno dall’inizio di marzo — forse da febbraio — trasformandola nel vettore di accesso iniziale per una campagna ransomware attiva e distruttiva denominata Sorry. Con un CVSS di 9.8 su 10 e oltre 1,5 milioni di installazioni cPanel nel mondo, l’impatto potenziale di questa vulnerabilità è difficile da sopravvalutare.

La Meccanica dell’Attacco: CRLF Injection nel Daemon di Autenticazione


A differenza dei classici buffer overflow o delle SQL injection, CVE-2026-41940 sfrutta un meccanismo sottile ma devastante: un’iniezione CRLF (Carriage Return Line Feed) nel processo di login e caricamento delle sessioni di cpsrvd, il daemon principale di cPanel.

Il flusso di autenticazione di cPanel prevede che cpsrvd scriva un nuovo file di sessione su disco prima che l’autenticazione vera e propria sia completata. Questo comportamento, probabilmente introdotto per ottimizzare le performance, diventa fatale in presenza della vulnerabilità. Un attaccante non autenticato può manipolare il cookie whostmgrsession omettendo un segmento atteso del suo valore, bypassando così il processo di cifratura della sessione. Iniettando caratteri raw attraverso un header di autorizzazione HTTP appositamente costruito, l’attaccante forza il sistema a scrivere il file di sessione senza sanitizzare l’input, permettendo l’inserimento di proprietà arbitrarie come user=root.

Il risultato finale: accesso amministrativo completo al server hosting, alle sue configurazioni, ai database e a tutti i siti web che gestisce — senza fornire alcuna credenziale valida. La Shadowserver Foundation ha rilevato sin da subito decine di migliaia di IP che scansionavano attivamente honeypot alla ricerca di istanze vulnerabili.

Timeline: Zero-Day Sfruttato per Mesi


La ricostruzione della timeline rivela un gap di esposizione particolarmente preoccupante:

  • Febbraio 2026 (data presunta): prime evidenze di sfruttamento nei log di server compromessi
  • 23 febbraio 2026: data confermata di prime attività malevole documentate da Shadowserver e altri sensori
  • 28 aprile 2026: WebPros pubblica security advisory e rilascia la patch (versioni corrette: 118.0.38, 120.0.23, 122.0.6)
  • 1 maggio 2026: CISA aggiunge CVE-2026-41940 al catalogo KEV, imponendo alle agenzie federali US l’aggiornamento entro 3 settimane
  • 2-3 maggio 2026: BleepingComputer documenta almeno 44.000 host cPanel compromessi; centinaia di siti già indicizzati da Google con evidenza di deface e ransomware

Il fatto che la vulnerabilità fosse nota agli attaccanti almeno due mesi prima della patch suggerisce o una scoperta interna da parte del gruppo criminale, o un acquisto sul mercato zero-day. In entrambi i casi, la finestra di esposizione è stata sufficiente per costruire un’infrastruttura di attacco scalabile.

Il Ransomware “Sorry”: un Linux Encryptor Progettato per i Server Hosting


Una volta ottenuto l’accesso root via CVE-2026-41940, gli attaccanti non si limitano alla ricognizione o all’esfiltrazione di dati: distribuiscono direttamente un encryptor Linux denominato Sorry, progettato specificamente per ambienti server e hosting. Il payload agisce su filesystem ext4 e XFS, prende di mira le directory tipiche degli stack web LAMP/LEMP (/home/*/public_html, /var/www, database MySQL in /var/lib/mysql) e cifra i file aggiungendo l’estensione .sorry. La ransom note lasciata sui sistemi compromessi include un indirizzo di contatto su rete Tor e una richiesta di pagamento in Bitcoin o Monero.

L’aspetto più insidioso per i provider hosting è che un singolo server cPanel compromesso può ospitare centinaia o migliaia di siti di clienti diversi. La compromissione di un account root su cPanel non è una violazione singola: è una catastrofe di scala industriale per chi gestisce hosting condiviso o rivenditori (reseller). Il provider hosting si trova così a dover comunicare la violazione a ogni singolo cliente presente sul server, con implicazioni legali e reputazionali enormi.

Impatto Globale: 1,5 Milioni di Installazioni a Rischio


Secondo le stime di Picus Security e Bitsight, al momento della divulgazione pubblica esistevano oltre 1,5 milioni di installazioni cPanel/WHM esposte su Internet. Watchtowr Labs, che ha pubblicato un’analisi tecnica con proof-of-concept, ha definito la situazione “The Internet Is Falling Down”, un titolo che rende l’idea della portata del problema. Rapid7 ha confermato l’elevata sfruttabilità nel suo Emergency Threat Response.

cPanel è il pannello di controllo hosting più diffuso al mondo, utilizzato non solo da grandi provider ma anche da decine di migliaia di piccole aziende di hosting e rivenditori. Molte di queste realtà non dispongono di processi di patch management strutturati, il che ha contribuito a mantenere alta la percentuale di installazioni non aggiornate anche giorni dopo la pubblicazione della fix.

Indicatori di Compromissione (IoC)

# Estensione aggiunta ai file cifrati dal ransomware Sorry
*.sorry
# Ransom note lasciata sui sistemi colpiti
READ_ME_SORRY.txt
# Pattern header malevolo rilevato nei log (CRLF injection)
# Authorization: Basic contiene \r\n seguito da user=root
# Percorsi sospetti post-exploit
/var/cpanel/sessions/raw/[stringa_casuale_anomala]
/tmp/.cpanel_*
/root/.bash_history con comandi curl/wget verso .onion o IP anomali
# Verifica crontab aggiunti
crontab -l -u root | grep -vE '^(#|$)'
# Versioni cPanel vulnerabili (da aggiornare immediatamente)
# Tutte le versioni precedenti a: 118.0.38 / 120.0.23 / 122.0.6
# Fonti IoC aggiornati
# https://bazaar.abuse.ch/browse/tag/sorry-ransomware/
# https://www.shadowserver.org/

Azioni di Difesa Immediate


Priorità assoluta: aggiornare cPanel & WHM alle versioni 118.0.38, 120.0.23, 122.0.6 o superiori. La patch è applicabile tramite il meccanismo nativo (upcp --force da root).

  • Audit retroattivo: ispezionare i log di cpsrvd in /usr/local/cpanel/logs/ alla ricerca di header Authorization anomali con caratteri non-ASCII o accessi root senza credenziali valide dal febbraio 2026 in poi
  • Isolamento in caso di compromissione: se si sospetta l’intrusione, isolare immediatamente il server prima dell’analisi forense — il ransomware Sorry agisce rapidamente e la cifratura può avvenire in pochi minuti dall’accesso
  • Verifica account e credenziali: controllare la presenza di nuovi account amministrativi, chiavi SSH non autorizzate in /root/.ssh/authorized_keys, crontab anomali
  • Regole WAF/IDS: implementare firme per rilevare header Authorization HTTP contenenti sequenze CRLF (\r\n)
  • Backup offsite: verificare che i backup siano conservati su storage disconnesso dalla macchina principale — i backup locali vengono cifrati insieme al server

CVE-2026-41940 è un caso esemplare di come vulnerabilità architetturali in software di infrastruttura ad alta diffusione possano trasformarsi in crisi su scala industriale. La finestra di due mesi tra sfruttamento attivo e patch pubblica, combinata con i ritardi nell’aggiornamento tipici del settore hosting, ha creato le condizioni ideali per una campagna ransomware sistematica. Per chi gestisce server cPanel, l’unica risposta razionale è aggiornare immediatamente e verificare retroattivamente la compromissione risalendo almeno a febbraio 2026.

Questa voce è stata modificata (2 mesi fa)

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Pixel meno potente degli altri? Il 62% degli utenti dice che non è un problema


Google Pixel è da sempre sinonimo di esperienza Android pura, ottimo comparto fotografico e aggiornamenti tempestivi. Ma quanto pesa la potenza bruta nelle decisioni d'acquisto? Un'ampia indagine condotta da Android Authority su oltre 6.000 utenti ha cercato di rispondere a questa domanda, con risultati tutt'altro che scontati. Il divario con Snapdragon esiste ed è reale I benchmark non mentono: il chip Tensor G5 di Google accusa un ritardo misurabile rispetto al Snapdragon 8 Elite Gen 5 […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Google Pixel è da sempre sinonimo di esperienza Android pura, ottimo comparto fotografico e aggiornamenti tempestivi. Ma quanto pesa la potenza bruta nelle decisioni d’acquisto? Un’ampia indagine condotta da Android Authority su oltre 6.000 utenti ha cercato di rispondere a questa domanda, con risultati tutt’altro che scontati.

Il divario con Snapdragon esiste ed è reale


I benchmark non mentono: il chip Tensor G5 di Google accusa un ritardo misurabile rispetto al Snapdragon 8 Elite Gen 5 di Qualcomm. Nei test di gioco intensivo, i dispositivi Snapdragon mantengono stabilmente 120 fps, mentre i Pixel con Tensor G5 oscillano intorno ai 90 fps con consumi energetici più elevati. Un gap che, su carta, dovrebbe pesare sulla valutazione del prodotto.

Ma la maggioranza degli utenti non ci bada


Eppure i numeri dell’indagine raccontano un’altra storia. Circa il 62,7% degli intervistati ha dichiarato di non considerare la differenza prestazionale un problema significativo. Solo il 34,6% ha ammesso che le prestazioni inferiori rappresentano un freno all’acquisto, mentre il restante 2,7% esclude il Pixel dalla propria lista per altre ragioni.

La “Pixelness” vale più dei megahertz


Cosa spinge allora gli utenti a scegliere un Pixel nonostante il gap prestazionale? Dai commenti emerge un quadro chiaro: l’esperienza software fluida e coerente, l’integrazione profonda con le funzioni AI di Google, la qualità fotografica e la semplicità d’uso quotidiana sono i veri differenziatori. Per chi usa il telefono principalmente per messaggiare, navigare, scattare foto e ascoltare musica, Tensor è più che sufficiente.

Ma c’è una minoranza insoddisfatta


Non mancano le voci critiche: circa un terzo degli utenti lamenta che il Pixel non giustifica il suo prezzo da flagship in termini di performance pura, esprime timori sulla longevità del dispositivo nel tempo o segnala cali di prestazioni nelle sessioni di utilizzo intensivo. Sono perplessità legittime, specialmente per chi usa il telefono per il gaming o per attività multitasking pesanti.

Il verdetto della community è abbastanza chiaro: Pixel non è lo smartphone per chi vuole il massimo della potenza, ma per chi vuole la migliore esperienza Android integrata con l’ecosistema Google. La sfida per il futuro sarà capire se questo posizionamento reggerà man mano che la concorrenza alza ulteriormente l’asticella.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Google COSMO: il misterioso assistente AI con Gemini Nano è apparso (e scomparso) dal Play Store


Un'app AI chiamata COSMO è comparsa brevemente sul Google Play Store, scatenando la curiosità della community tech. L'applicazione, sviluppata da Google e dotata di Gemini Nano integrato, è stata rimossa poco dopo la pubblicazione, probabilmente a causa di un rilascio accidentale prima del tempo. Cos'è COSMO e cosa può fare COSMO si presenta come un assistente AI per Android pensato per supportare le attività quotidiane: dalla gestione di memo e liste, alla stesura di documenti, dalla […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Un’app AI chiamata COSMO è comparsa brevemente sul Google Play Store, scatenando la curiosità della community tech. L’applicazione, sviluppata da Google e dotata di Gemini Nano integrato, è stata rimossa poco dopo la pubblicazione, probabilmente a causa di un rilascio accidentale prima del tempo.

Cos’è COSMO e cosa può fare


COSMO si presenta come un assistente AI per Android pensato per supportare le attività quotidiane: dalla gestione di memo e liste, alla stesura di documenti, dalla pianificazione del calendario alla ricerca sul web. Tra le funzionalità segnalate spicca anche una modalità “Deep Research” per elaborare report da più fonti, caratteristica che ricorda da vicino le funzionalità avanzate di Gemini.

Gemini Nano a bordo: AI on-device senza bisogno del cloud


La particolarità tecnica più interessante di COSMO è il peso dell’app: circa 1,1 GB, una dimensione inusuale che si spiega con l’integrazione di Gemini Nano, il modello AI compatto di Google progettato per funzionare direttamente sul dispositivo. Questo significa che l’app può elaborare richieste localmente, senza dover inviare dati al cloud, con vantaggi in termini di privacy e velocità di risposta. COSMO sembrerebbe supportare anche modalità ibride, alternando elaborazione locale e cloud a seconda del tipo di operazione.

Un rilascio accidentale prima del Google I/O?


Il package name dell’app riconduceva chiaramente al dipartimento di ricerca di Google, il che suggerisce fortemente che si trattasse di un progetto interno pubblicato per errore. Il tempismo non è casuale: il Google I/O è alle porte e l’azienda potrebbe avere in programma di svelare ufficialmente COSMO — o qualcosa di molto simile — durante l’evento. Non è da escludere, però, che si tratti di un esperimento destinato a confluire in un prodotto più grande, come un’evoluzione di Google Assistant o delle funzionalità AI di Android.

In ogni caso, COSMO offre un’anteprima concreta della direzione che Google intende seguire per l’AI on-device su Android: assistenti sempre più capaci, veloci e che rispettano la privacy degli utenti.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Galaxy in freeze: Good Lock causa blocchi su diversi smartphone Samsung


Diversi utenti Samsung stanno segnalando un problema fastidioso: i propri smartphone Galaxy si bloccano improvvisamente, smettendo di rispondere ai comandi. L'origine del problema sembra riconducibile a Good Lock, l'app di personalizzazione ufficiale Samsung, e in particolare a uno dei suoi moduli più utilizzati. Il colpevole: One Hand Operation+ Il modulo incriminato è One Hand Operation+, che permette di gestire il telefono con una sola mano tramite gesture personalizzate. Secondo le […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Diversi utenti Samsung stanno segnalando un problema fastidioso: i propri smartphone Galaxy si bloccano improvvisamente, smettendo di rispondere ai comandi. L’origine del problema sembra riconducibile a Good Lock, l’app di personalizzazione ufficiale Samsung, e in particolare a uno dei suoi moduli più utilizzati.

Il colpevole: One Hand Operation+


Il modulo incriminato è One Hand Operation+, che permette di gestire il telefono con una sola mano tramite gesture personalizzate. Secondo le segnalazioni raccolte sul forum ufficiale Samsung, il freeze si verifica in una combinazione specifica di impostazioni: quando si assegna un colore all’handle dei gesti e contemporaneamente si imposta quell’handle come non visibile. Questo conflitto causerebbe un’interferenza con il sistema di acquisizione screenshot, portando al blocco dell’interfaccia.

Samsung è già al lavoro sulla soluzione

Samsung è già al lavoro sulla soluzione


La buona notizia è che Samsung è già a conoscenza del bug e sta preparando una correzione. La soluzione prevista consiste nel rendere l’handle trasparente anziché completamente invisibile, eliminando così il conflitto che provoca il blocco. L’aggiornamento dovrebbe arrivare nelle prossime settimane attraverso un update di Good Lock.

Come evitare il problema nel frattempo


In attesa del fix ufficiale, chi utilizza One Hand Operation+ può adottare alcune precauzioni per evitare il freeze:

  • Disattivare temporaneamente il modulo One Hand Operation+ da Good Lock
  • Evitare di impostare l’handle come invisibile mantenendo un colore assegnato
  • Tornare alle impostazioni predefinite del modulo

Il problema sembra limitato a configurazioni specifiche e non si tratta di un blocco critico del sistema. Tuttavia, chi usa regolarmente questa funzione e riscontra freeze improvvisi ora sa da dove partire per risolvere il problema.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato Wine 11.8: aggiornamenti tecnici e correzioni per applicazioni e giochi Windows


Wine è un progetto storico nato negli anni ’90 con l’obiettivo di permettere l’esecuzione di applicazioni e videogiochi sviluppati per Microsoft Windows all’interno di sistemi operativi come GNU/Linux, macOS e, in parte, anche BSD. A differenza di un emulatore tradizionale, Wine non ricrea...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Le notizie minori del mondo GNU/Linux e dintorni della settimana nr 18/2026


Ogni settimana, il mondo del software libero e open source ci offre una moltitudine di aggiornamenti e nuove versioni di software. Anche se non tutti sono di grande rilevanza, molti di questi possono risultare...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Deserializzazione JSON sicura in .NET 10: guida completa a JsonSerializerOptions.Strict


.NET 10 introduce JsonSerializerOptions.Strict, un preset che attiva cinque protezioni di sicurezza in System.Text.Json: proprieta' duplicate, campi non mappati, nullable, parametri obbligatori. Guida pratica con esempi di codice e integrazione ASP.NET Core.
The media in this post is not displayed to visitors. To view it, please go to the original post.

Considera questo payload JSON in arrivo alla tua API:

{"Amount": 100, "Amount": -999}

Due proprietà con lo stesso nome. La sezione 4 di RFC 8259 dice che i nomi degli oggetti dovrebbero essere univoci, ma non lo impone. System.Text.Json, di default, adotta l’approccio permissivo: vince l’ultima scrittura, nessun avviso, nessun errore. Il valore dell’attaccante passa silenziosamente.

Questo non è solo un problema di proprietà duplicate. La deserializzazione di default ignora anche campi extra che un attaccante potrebbe iniettare, lascia scivolare i valori null nelle proprietà non-nullable e salta dati richiesti mancanti. Ogni di queste “comodità” è una potenziale vulnerabilità al confine della tua API.

JsonSerializerOptions.Strict: cinque protezioni in un solo preset


.NET 10 introduce JsonSerializerOptions.Strict, un nuovo preset di sola lettura che si affianca a Default e Web. Mentre Default dà priorità alla retrocompatibilità e Web ottimizza per le API HTTP tipiche, Strict segue le best practice di sicurezza attivando cinque impostazioni protettive simultaneamente.

var strict = JsonSerializerOptions.Strict;
// AllowDuplicateProperties:             False
// UnmappedMemberHandling:               Disallow
// PropertyNameCaseInsensitive:           False
// RespectNullableAnnotations:            True
// RespectRequiredConstructorParameters:  True

Confronto tra i tre preset

ImpostazioneDefaultWebStrict
AllowDuplicatePropertiestruetruefalse
UnmappedMemberHandlingSkipSkipDisallow
PropertyNameCaseInsensitivefalsetruefalse
RespectNullableAnnotationsfalsefalsetrue
RespectRequiredConstructorParametersfalsefalsetrue

I dati serializzati con Default possono essere deserializzati con Strict. La compatibilità va in una sola direzione: Strict è più severo su ciò che accetta, non su ciò che produce.

1. Proprietà duplicate vietate


I protocolli che stratificano il parsing JSON (OAuth 2.0, OpenID Connect, firme webhook) possono essere sfruttati se parser diversi gestiscono input duplicati in modo diverso. Con Strict, ogni tentativo di deserializzare JSON con proprietà duplicate genera immediatamente una JsonException:

string duplicateJson = @'{"Amount": 100, "Amount": -999}';

try
{
    JsonSerializer.Deserialize<Payment>(duplicateJson, JsonSerializerOptions.Strict);
}
catch (JsonException ex)
{
    // JsonException: Duplicate property 'Amount' encountered during deserialization
    Console.WriteLine(ex.Message);
}

public record Payment(int Amount);

Questa protezione si estende oltre i POCO (plain-old C# objects): funziona anche con JsonDocument, JsonNode e Dictionary<string, T>.

2. Rifiuto dei membri non mappati


La deserializzazione di default scarta silenziosamente le proprietà JSON che non corrispondono al tuo tipo .NET. È comodo durante lo sviluppo, ma è pericoloso a un confine di fiducia perché non sai cosa sta inviando il client.

string extraFieldJson = @'{"Name": "Alice", "Role": "user", "IsRoot": true}';

// Default: ignora silenziosamente "IsRoot"
var user = JsonSerializer.Deserialize<User>(extraFieldJson);
// Name=Alice, Role=user - "IsRoot" scompare senza tracce

// Strict: rifiuta la proprieta' non mappata
JsonSerializer.Deserialize<User>(extraFieldJson, JsonSerializerOptions.Strict);
// throws: The JSON property 'IsRoot' could not be mapped to any .NET member

public record User(string Name, string Role);

3. Corrispondenza case-sensitive dei nomi di proprietà


In modalità Strict, la case sensitivity diventa un contratto preciso: i nomi delle proprietà JSON devono corrispondere esattamente ai nomi delle proprietà C#. Se i tuoi client inviano camelCase ma i tuoi tipi usano PascalCase, aggiungi [JsonPropertyName("nomeCamelCase")] per rendere il contratto esplicito nella definizione del tipo.

4. Enforcement delle annotazioni nullable


I nullable reference types di C# aiutano a intercettare i problemi di null a compile time, ma System.Text.Json li ignora di default durante la deserializzazione. Con Strict, se hai dichiarato string Name (non string? Name), il serializzatore rifiuterà qualsiasi JSON con null per quella proprietà:

string nullNameJson = @'{"Name": null, "Email": "alice@example.com"}';

// Default: null va nella stringa non-nullable senza errori
var contact = JsonSerializer.Deserialize<Contact>(nullNameJson);
// contact.Name == null (silenzioso!)

// Strict: genera eccezione
JsonSerializer.Deserialize<Contact>(nullNameJson, JsonSerializerOptions.Strict);
// throws: The constructor parameter 'Name' doesn't allow null values

public record Contact(string Name, string Email);

5. Parametri obbligatori del costruttore


I record type e le classi con costruttori parametrizzati possono avere parametri obbligatori silenziosamente riempiti con valori di default quando il JSON manca dei dati. Strict lo impedisce:

string missingParamJson = @'{"FirstName": "Alice"}';

// Default: LastName mancante diventa silenziosamente null
var person = JsonSerializer.Deserialize<Person>(missingParamJson);
// person.LastName == null

// Strict: richiede tutti i parametri
JsonSerializer.Deserialize<Person>(missingParamJson, JsonSerializerOptions.Strict);
// throws: JSON deserialization was missing required properties: 'LastName'

public record Person(string FirstName, string LastName);

Integrazione in ASP.NET Core Minimal APIs


Nei demo sopra usiamo JsonSerializer direttamente. In un’applicazione web, configuri le opzioni JSON una volta e ogni endpoint le eredita. Nota: JsonSerializerOptions.Strict è un singleton frozen, quindi non puoi passarlo direttamente a ConfigureHttpJsonOptions che richiede un’istanza mutabile. Imposta le singole proprietà:

builder.Services.ConfigureHttpJsonOptions(options =>
{
    options.SerializerOptions.AllowDuplicateProperties = false;
    options.SerializerOptions.UnmappedMemberHandling =
        System.Text.Json.Serialization.JsonUnmappedMemberHandling.Disallow;
    options.SerializerOptions.PropertyNameCaseInsensitive = false;
    options.SerializerOptions.RespectNullableAnnotations = true;
    options.SerializerOptions.RespectRequiredConstructorParameters = true;
});

app.MapPost("/payments", (Payment payment) =>
{
    // Se il body ha proprieta' duplicate, campi non mappati o dati mancanti,
    // il framework risponde con 400 Bad Request prima che questo codice venga eseguito.
    return Results.Ok(payment);
});

Il framework intercetta JsonException durante il model binding e restituisce un 400 Bad Request con problem details. Il tuo endpoint vede solo oggetti validi e completamente inizializzati.

Configurazione per-endpoint


Se hai bisogno di validazione strict su alcuni endpoint ma parsing più flessibile su altri, puoi deserializzare manualmente dal body della richiesta con le opzioni desiderate:

app.MapPost("/api/strict", async (HttpContext context) =>
{
    var payment = await context.Request.ReadFromJsonAsync<Payment>(
        JsonSerializerOptions.Strict);
    return Results.Ok(payment);
});

Supporto per i Source Generator


Per scenari AOT o per i benefici prestazionali dei source generator, configura manualmente le impostazioni equivalenti su JsonSourceGenerationOptionsAttribute. Non esiste una scorciatoia Strict per l’attributo: ogni proprietà va impostata individualmente.

[JsonSourceGenerationOptions(
    AllowDuplicateProperties = false,
    UnmappedMemberHandling = JsonUnmappedMemberHandling.Disallow,
    PropertyNameCaseInsensitive = false,
    RespectNullableAnnotations = true,
    RespectRequiredConstructorParameters = true
)]
[JsonSerializable(typeof(Payment))]
internal partial class StrictJsonContext : JsonSerializerContext;

Il codice generato include tutta la logica di validazione a compile time, senza overhead di reflection.

Quando usare Strict (e quando no)


Usalo ai confini di fiducia: endpoint token, ricevitori di webhook, controller API che accettano JSON da client non controllati completamente. Il costo è una JsonException quando i payload non corrispondono al contratto. Questo è esattamente lo scopo.

Evitalo per l’ingestione flessibile: se consumi JSON da API di terze parti con schemi inconsistenti, la modalità strict rifiuterà payload che potresti voler gestire con più grazia. In questi casi usa Default o Web e valida dopo la deserializzazione.

Migra in modo incrementale: non è necessario passare tutto a Strict subito. Inizia dagli endpoint ad alto rischio, intercetta JsonException, registra i problemi, correggi i client che inviano payload non conformi, poi espandi.

Sappi i limiti: Strict valida le violazioni del contratto strutturale ma non protegge da JSON profondamente annidato (usa MaxDepth), payload eccessivi (imposta limiti HTTP) o type confusion polimorfico. È un layer di difesa, non l’unico.

Conclusione


Ogni endpoint API che accetta JSON è un confine di fiducia. La deserializzazione permissiva rende quel confine poroso. JsonSerializerOptions.Strict non aggiunge nuova logica: attiva protezioni già presenti in System.Text.Json ma disattivate di default per retrocompatibilità. Una riga di configurazione le attiva tutte.

Questo è particolarmente rilevante ai confini di protocollo come OAuth 2.0 e OpenID Connect, dove una proprietà duplicata o un campo inatteso non è solo un bug — è un potenziale vettore di exploit.

Fonte: Harden Your .NET JSON Deserialization with System.Text.Json and JsonSerializerOptions.Strict — Khalid Abuhakmeh, Duende Software (30 aprile 2026)

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

SHADOW-EARTH-053: la campagna APT cinese che spia governi asiatici, la NATO e i diplomatici cubani


Trend Micro ha smascherato SHADOW-EARTH-053, un gruppo APT allineato alla Cina attivo dal dicembre 2024 che ha colpito governi e contractor difesa in Pakistan, India, Malaysia, Taiwan e Polonia. In parallelo, un'operazione correlata ha violato le email di 68 diplomatici cubani a Washington sfruttando Exchange non patchati. Analisi tecnica di ShadowPad, Godzilla webshell, CVE-2025-55182 e delle implicazioni per i difensori.
The media in this post is not displayed to visitors. To view it, please go to the original post.

Una campagna di cyberspionaggio di alto livello, attribuita ad attori allineati agli interessi strategici della Cina, ha colpito nell’arco degli ultimi mesi governi, contractor della difesa, aziende tecnologiche e media in almeno otto paesi asiatici e in Polonia, unico Stato membro della NATO nel mirino. Nell’ambito dello stesso quadro operativo, un’operazione parallela ha violato la casella email di 68 diplomatici cubani a Washington durante uno dei momenti di tensione geopolitica più acuti del 2026. Il quadro che emerge è quello di una macchina d’intelligence cinese capace di operare su più fronti simultaneamente, adattando toolchain e vettori di attacco a obiettivi molto diversi tra loro.

SHADOW-EARTH-053: profilo del gruppo e attribuzioni


Il 30 aprile 2026, Trend Micro ha pubblicato un’analisi tecnica dettagliata di un nuovo intrusion set temporaneo denominato SHADOW-EARTH-053. Il gruppo è attivo almeno dal dicembre 2024 e viene valutato con elevata confidenza come allineato agli interessi della Repubblica Popolare Cinese. I target identificati spaziano dall’Asia meridionale (Pakistan, India, Sri Lanka, Myanmar) a quella orientale (Taiwan) e sud-orientale (Thailandia, Malaysia), fino a un Paese europeo membro della NATO: la Polonia.

La campagna si concentra principalmente su organizzazioni governative e del settore difesa, ma ha colpito anche aziende del settore tecnologico, trasporti e media. L’ampiezza geografica e la diversità dei target riflettono le priorità di intelligence della Cina nella regione Indo-Pacifica, con la Polonia che rappresenta probabilmente un obiettivo correlato al monitoraggio dell’assistenza militare occidentale all’Ucraina.

Vettori di accesso iniziale: da Exchange a React2Shell


SHADOW-EARTH-053 dimostra notevole flessibilità nei vettori di accesso iniziale. Il gruppo sfrutta vulnerabilità note ma non patchate in Microsoft Exchange Server — in particolare la catena ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) — e nei server Internet Information Services (IIS). La presenza di server Exchange senza patch a distanza di anni dalla disclosure rimane un problema sistemico nelle reti governative di molti paesi target.

Più recentemente, il gruppo ha aggiunto al proprio arsenale lo sfruttamento di CVE-2025-55182, alias React2Shell, una vulnerabilità critica con CVSS score di 10.0 che affligge React Server Components, Next.js e framework correlati. La falla consente l’esecuzione di codice arbitrario remoto pre-autenticazione tramite una singola richiesta HTTP malevola. In alcuni casi, ShadowPad è stato recapitato anche tramite AnyDesk, mostrando adattabilità nella catena di compromissione.

La toolchain: ShadowPad, Godzilla e Noodle RAT


Dopo l’accesso iniziale, SHADOW-EARTH-053 installa web shell Godzilla per mantenere un accesso persistente al server compromesso. Godzilla consente l’esecuzione remota di comandi e offre funzionalità di gestione file, proxy SOCKS5 e memory injection, rendendola una piattaforma di staging ideale per le fasi successive.

Il payload principale è ShadowPad, un backdoor modulare di uso esclusivo dei gruppi APT cinesi sin dalla sua comparsa nel 2017. ShadowPad viene caricato tramite DLL sideloading di eseguibili legittimi firmati digitalmente (Microsoft, Samsung e altri vendor), con il payload cifrato spesso archiviato nel registro di sistema ed eliminato dopo il primo utilizzo. La persistenza è garantita da un task pianificato denominato “M1onltor”, configurato per eseguire il binario sideloaded ogni cinque minuti con i massimi privilegi disponibili.

Su infrastrutture Linux, i ricercatori hanno identificato con bassa confidenza campioni di Noodle RAT, una RAT cross-platform distribuita tramite la stessa infrastruttura e controllata via domini con temi office365. Ciò suggerisce un’espansione verso ambienti non-Windows, tipicamente meno monitorati nelle reti enterprise.

Movimento laterale e ricognizione interna


Post-compromissione, SHADOW-EARTH-053 esegue una ricognizione sistematica di Active Directory e Exchange direttamente dalla web shell: enumerazione degli admin di dominio, discovery dei domain controller tramite nltest, export AD via csvde e mapping di utenti e mailbox con Get-DomainUser di PowerView.

Per il movimento laterale il gruppo utilizza IOX, un tool di tunneling proxy, configurando LocalAccountTokenFilterPolicy = 1 per abilitare Pass-the-Hash sugli account amministratori locali. Il movimento laterale si avvale di WMIC per distribuire backdoor e tool su host Windows aggiuntivi, affiancato da un launcher RDP personalizzato (smss.exe) e da Sharp-SMBExec, un tool C# per operazioni SMB.

L’operazione sull’ambasciata cubana: spionaggio diplomatico in tempo reale


Parallelamente alla campagna SHADOW-EARTH-053, la società Gambit Security ha documentato un’operazione distinta ma stilisticamente riconducibile a gruppi di intelligence cinesi: la compromissione dei server di posta elettronica dell’ambasciata cubana a Washington. L’attacco è iniziato a gennaio 2026 e ha interessato le caselle email di 68 funzionari, tra cui l’ambasciatore e il suo vice. I vettori di intrusione sono stati — anche qui — vulnerabilità nei server Microsoft Exchange, rimaste non patchate per circa cinque anni.

La tempistica dell’operazione è significativa: gli hacker hanno letto corrispondenza diplomatica riservata proprio mentre gli Stati Uniti intensificavano le pressioni su Cuba sull’onda delle operazioni in Venezuela, con restrizioni alle forniture di petrolio che hanno causato blackout di massa sull’isola. Nella stessa finestra temporale, la stessa infrastruttura ha condotto attacchi contro il governo del Venezuela e il suo Ministero degli Affari Esteri. Separatamente, lo sfruttamento della vulnerabilità React (CVE-2025-55182) ha consentito al gruppo di ottenere accesso a circa 5.000 server in pochi giorni, inclusi sistemi governativi in Texas e aziende private.

Tecniche di evasione


SHADOW-EARTH-053 adotta diverse tecniche per ostacolare il rilevamento. Il packer RingQ viene usato per offuscare i payload. I tool come net.exe e PowerShell vengono rinominati con nomi casuali con estensione .log. I domini di command and control mimicano prodotti di sicurezza o servizi DNS legittimi. L’uso estensivo di living-off-the-land binaries (LOLBins) riduce ulteriormente la firma di rilevamento sugli endpoint.

Indicatori di compromissione (IoC)

# Tool e binari associati a SHADOW-EARTH-053
# Scheduled Task persistence
Task name: M1onltor
Trigger: ogni 5 minuti, SYSTEM privileges

# Strumenti post-compromissione
- IOX proxy tunneling tool
- Sharp-SMBExec (C# SMB lateral movement)
- RingQ packer (per offuscamento payload)
- PowerView (Get-DomainUser)
- csvde.exe (AD export)
- nltest.exe (domain controller discovery)

# Malware identificati
- ShadowPad backdoor (DLL sideloading via eseguibili firmati Microsoft/Samsung)
- Godzilla webshell
- Noodle RAT (variante Linux, bassa confidenza)

# CVE sfruttate
- CVE-2021-26855 / CVE-2021-26857 / CVE-2021-26858 / CVE-2021-27065 (ProxyLogon - Exchange)
- CVE-2025-55182 "React2Shell" (CVSS 10.0 - RCE pre-auth su React Server Components)

# Indicatori infrastrutturali
- Domini C2 che imitano prodotti di sicurezza o servizi DNS
- Domini con temi "office365" per Noodle RAT C2
- Eseguibili rinominati con estensione .log (net.exe, PowerShell)

Implicazioni e raccomandazioni per i difensori


La campagna SHADOW-EARTH-053 evidenzia alcune priorità difensive urgenti. Patch management su Exchange e IIS rimane critico: la persistenza di vulnerabilità come ProxyLogon a distanza di anni dalla divulgazione indica processi di patching inadeguati in molte organizzazioni pubbliche. Il monitoraggio di task pianificati con nomi insoliti (come “M1onltor”) e del DLL sideloading da processi firmati legittimi dovrebbe essere parte delle regole di detection SIEM standard. Il rilevamento di tool come IOX, csvde e nltest in contesti anomali può segnalare ricognizione post-compromissione. La protezione delle API React Server Components e l’applicazione del patch per CVE-2025-55182 è urgente per chiunque gestisca applicazioni Next.js in produzione.

Sul piano geopolitico, la combinazione SHADOW-EARTH-053 + operazione ambasciata cubana dimostra la capacità dei servizi di intelligence cinesi di condurre operazioni simultanee e multi-obiettivo, adattando gli strumenti in funzione del target — dal backdoor militare ShadowPad per i governi alla compromissione silente dei server di posta diplomatici. Per i team di sicurezza delle organizzazioni governative, difesa e infrastrutture critiche in Europa e Asia, questa campagna rappresenta un segnale d’allerta difficile da ignorare.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Il podcast di Marco’s Box #217 – Una puntata polemica


Nuova puntata del podcast di Marco’s Box, questa volta dedicata a commentare le principali notizie dal mondo di linux e del software libero e open source. Trovate la puntata su Spotity, Google Podcasts, Anchor, Apple...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato Shelly 2.2: nuova versione del gestore grafico dei pacchetti software per Arch Linux


Zoey Bauer, la sviluppatrice (dal nome dovrebbe essere una donna ma non ho certezza di questo) ha pubblicato Shelly 2.2, una versione importante del gestore grafico dei pacchetti software dedicato ad Arch Linux e...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciata EndeavourOS Titan Neo: arrivano correzioni e piccoli miglioramenti


EndeavourOS è una distribuzione GNU/Linux basata su Arch Linux, progettata per offrire un’esperienza accessibile e potente, mantenendo la filosofia di semplicità e leggerezza che caratterizza l’ecosistema Arch Linux. Il progetto nasce nel 2019 come successore spirituale...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Xiaomi 17 Max: batteria da 8000 mAh e schermo 6,9″ — il bestione è in arrivo


Xiaomi si prepara a lanciare un nuovo ultra-flagship pensato per chi non scende a compromessi sull'autonomia: il Xiaomi 17 Max. Secondo informazioni trapelate da fonti affidabili, il dispositivo avrebbe già ottenuto le certificazioni necessarie e potrebbe essere annunciato in Cina già entro fine maggio 2026. 8000 mAh: un record per uno smartphone premium Il dato che ha immediatamente catturato l'attenzione è la capacità della batteria: ben 8000 mAh, un valore eccezionale per un […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Xiaomi si prepara a lanciare un nuovo ultra-flagship pensato per chi non scende a compromessi sull’autonomia: il Xiaomi 17 Max. Secondo informazioni trapelate da fonti affidabili, il dispositivo avrebbe già ottenuto le certificazioni necessarie e potrebbe essere annunciato in Cina già entro fine maggio 2026.

8000 mAh: un record per uno smartphone premium


Il dato che ha immediatamente catturato l’attenzione è la capacità della batteria: ben 8000 mAh, un valore eccezionale per un dispositivo di fascia alta. Per confronto, la maggior parte dei top di gamma 2025-2026 si attesta tra i 5000 e i 6000 mAh.

Come ci è arrivato Xiaomi? Rinunciando al display posteriore che era stato ipotizzato nelle prime bozze progettuali. Eliminando quel componente aggiuntivo, si è liberato abbastanza spazio interno per ospitare una cella di dimensioni record — una scelta pragmatica che privilegia l’utilità quotidiana rispetto all’effetto “wow” estetico.

Display 6,9 pollici e Snapdragon di nuova generazione


Lo schermo è un pannello da 6,9 pollici in risoluzione 1,5K, con bordi uniformi ridotti al minimo. L’assenza della fotocamera sotto il display (rimasta un’aspirazione tecnica non ancora matura) lascia spazio a un foro tradizionale, ben integrato nel design complessivo.

Il processore sarà un Snapdragon 8 Elite di nuova generazione — il chip top di Qualcomm — che garantirà prestazioni eccellenti in ogni scenario, dalla produttività al gaming.

Per chi è pensato lo Xiaomi 17 Max?


Il Xiaomi 17 Max si rivolge a un pubblico molto specifico: chi usa lo smartphone intensamente tutto il giorno, non vuole portare con sé un power bank e non vuole preoccuparsi di arrivare a sera con la batteria scarica. Con 8000 mAh, anche i giorni più impegnativi non dovrebbero scalfire la carica residua — e per i viaggiatori, potrebbe voler dire due giorni abbondanti di autonomia.

Dettagli su prezzo e disponibilità internazionale non sono ancora noti, ma è ragionevole aspettarsi un posizionamento premium coerente con le ambizioni del prodotto.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Motorola Edge 70 Pro Global: ufficiale con zoom periscopico 3,5x e ricarica wireless


Motorola ha ufficializzato il lancio globale del Edge 70 Pro, un mid-range evoluto che punta in alto grazie a una fotocamera aggiornata rispetto alla versione indiana. La novità più importante? L'aggiunta di un teleobiettivo periscopico da 50MP e il supporto alla ricarica wireless. Quattro fotocamere per la versione globale Se la variante indiana del Motorola Edge 70 Pro si limitava a tre sensori (principale, ultra-grandangolo e frontale), il modello globale arricchisce la configurazione […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Motorola ha ufficializzato il lancio globale del Edge 70 Pro, un mid-range evoluto che punta in alto grazie a una fotocamera aggiornata rispetto alla versione indiana. La novità più importante? L’aggiunta di un teleobiettivo periscopico da 50MP e il supporto alla ricarica wireless.

Quattro fotocamere per la versione globale


Se la variante indiana del Motorola Edge 70 Pro si limitava a tre sensori (principale, ultra-grandangolo e frontale), il modello globale arricchisce la configurazione con un quarto elemento: una fotocamera periscopica da 50MP con zoom ottico 3,5x.

Questo teleobiettivo supporta lo zoom digitale fino a 50x e la stabilizzazione ottica dell’immagine (OIS), con una lunghezza focale equivalente di circa 81mm. Una dotazione che permette di avvicinarsi a soggetti distanti con una qualità ben superiore a quella ottenibile con lo zoom digitale puro.

Ricarica wireless: un plus non scontato in questa fascia


Un’altra novità esclusiva del modello globale è la ricarica wireless da 15W, assente nella versione indiana. A questa si aggiunge anche la ricarica wireless inversa da 5W, che consente di ricaricare altri dispositivi compatibili posando semplicemente lo smartphone sopra di essi — utile per auricolari wireless o smartwatch.

Un mid-range con ambizioni premium


Il Motorola Edge 70 Pro si posiziona come un’opzione solida per chi cerca funzioni tipiche dei top di gamma — zoom periscopico e wireless charging inclusi — senza arrivare ai prezzi dei flagship. Motorola sembra aver capito che questa fascia di mercato premia chi riesce a offrire specifiche premium a costi ragionevoli, e con l’Edge 70 Pro ci prova con convinzione.

Non sono ancora stati comunicati prezzi e date di disponibilità per il mercato europeo, ma considerata la strategia di Motorola negli ultimi anni, un approdo nel Vecchio Continente entro la fine del 2026 sembra probabile.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Sony 1000X The ColleXion: trapela il prezzo delle cuffie ultra-premium. Sarà caro, ma quanto?


Sony si prepara a lanciare il vertice assoluto della sua linea di cuffie wireless: le 1000X The ColleXion, attese per il 19 maggio 2026. Non si tratta di un semplice aggiornamento del WH-1000XM6, ma di un modello completamente nuovo, con un posizionamento ancora più lussuoso e un prezzo che, stando ai leak, sarà decisamente impegnativo. Un modello a parte rispetto alle WH-1000XM Le Sony 1000X The ColleXion non sostituiranno le WH-1000XM6 — che continueranno ad essere vendute — ma si […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Sony si prepara a lanciare il vertice assoluto della sua linea di cuffie wireless: le 1000X The ColleXion, attese per il 19 maggio 2026. Non si tratta di un semplice aggiornamento del WH-1000XM6, ma di un modello completamente nuovo, con un posizionamento ancora più lussuoso e un prezzo che, stando ai leak, sarà decisamente impegnativo.

Un modello a parte rispetto alle WH-1000XM


Le Sony 1000X The ColleXion non sostituiranno le WH-1000XM6 — che continueranno ad essere vendute — ma si posizioneranno sopra di esse come prodotto “ultra-premium”. Il numero di modello trapelato è WH-1000XX, a sottolineare la distinzione dalla linea standard.

L’approccio “The ColleXion” suggerisce una filosofia produttiva orientata al design e ai materiali di alta gamma, più vicina al mondo della moda e del lusso che a quello della semplice elettronica di consumo.

Il prezzo previsto: oltre 500 euro?


I dati trapelati indicano un prezzo di vendita in Giappone di circa 83.000 yen, che al cambio attuale corrispondono a circa 520-530 euro. Per il mercato europeo il prezzo potrebbe differire, ma è lecito aspettarsi una cifra superiore ai 500 euro — significativamente più alta rispetto alle WH-1000XM6.

Sony punta chiaramente a un pubblico di audiofili e appassionati di design che non badano al prezzo, e che cercano nelle cuffie non solo qualità sonora, ma anche un oggetto di lusso da sfoggiare.

Compatibilità Android e attesa per le specifiche ufficiali


Come tutta la gamma 1000X di Sony, anche le ColleXion saranno compatibili con Android tramite l’app Sony Headphones Connect, che offre controllo EQ, gestione della cancellazione attiva del rumore (ANC) e aggiornamenti firmware. Dettagli completi su autonomia, driver e codec supportati verranno svelati ufficialmente il 19 maggio.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Galaxy S27 Ultra: Samsung potrebbe eliminare la fotocamera 3x. Ecco perché


Tra le tante voci che circolano sul prossimo Galaxy S27 Ultra ne emerge una particolarmente sorprendente: Samsung starebbe valutando l'eliminazione del teleobiettivo 3x. Una scelta apparentemente controcorrente per un top di gamma, ma che risponde a precise logiche progettuali. Addio alla doppia configurazione zoom? Dal Galaxy S21 Ultra in poi, Samsung ha adottato una configurazione con doppio teleobiettivo (3x e 10x o simili), garantendo una copertura zoom molto flessibile senza ricorrere […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Tra le tante voci che circolano sul prossimo Galaxy S27 Ultra ne emerge una particolarmente sorprendente: Samsung starebbe valutando l’eliminazione del teleobiettivo 3x. Una scelta apparentemente controcorrente per un top di gamma, ma che risponde a precise logiche progettuali.

Addio alla doppia configurazione zoom?


Dal Galaxy S21 Ultra in poi, Samsung ha adottato una configurazione con doppio teleobiettivo (3x e 10x o simili), garantendo una copertura zoom molto flessibile senza ricorrere troppo al ritaglio digitale. Questa scelta ha rappresentato uno dei punti di forza della linea Ultra negli ultimi anni.

Ora, secondo i leaker, il Galaxy S27 Ultra potrebbe abbandonare la fotocamera a 3x. Il motivo? Liberare spazio interno per una nuova architettura hardware, probabilmente destinata ad accogliere componenti più grandi o un sistema di dissipazione del calore più efficiente.

Il sensore da 200MP diventa ancora più centrale


In assenza del teleobiettivo corto, il sensore principale da 200 megapixel assumerebbe un ruolo ancora più importante. Grazie al ritaglio digitale dell’alta risoluzione, Samsung potrebbe coprire le focali intermedie senza perdita eccessiva di qualità — una tecnica già utilizzata dagli attuali modelli Ultra.

Tra i 3x e il teleobiettivo periscopico (probabilmente ancora presente), la copertura verrebbe garantita dalla potenza bruta del sensore principale. Tuttavia, rispetto a un teleobiettivo ottico dedicato, la qualità nelle zone intermedie potrebbe risentirne, soprattutto in condizioni di scarsa illuminazione.

Una scommessa rischiosa?


Per molti utenti, il sistema a doppio zoom è uno dei motivi principali per scegliere la linea Ultra. Rimuovere il 3x significa rinunciare a qualcosa che era diventato un marchio di fabbrica. Starà a Samsung dimostrare che la nuova configurazione è in grado di compensare adeguatamente, magari grazie a miglioramenti software e AI nell’elaborazione delle immagini.

Per ora si tratta di indiscrezioni: il Galaxy S27 Ultra è atteso nella prima metà del 2027, quindi c’è ancora tempo perché le specifiche finali cambino.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

A2A v1: comunicazione cross-platform tra agenti AI nel Microsoft Agent Framework per .NET


Il protocollo A2A v1.0 è ora stabile e pronto per la produzione. Con il supporto nel Microsoft Agent Framework per .NET, collegare agenti AI di vendor diversi diventa semplice quanto una chiamata HTTP. Ecco come funziona e come integrarlo nel tuo codice.
The media in this post is not displayed to visitors. To view it, please go to the original post.

Con il rilascio dell’A2A Protocol v1.0 e il relativo supporto nel Microsoft Agent Framework per .NET, il mondo degli agenti AI multi-vendor fa un passo importante verso la maturità. Non si tratta solo di un aggiornamento di versione: A2A v1 è il primo standard stabile e production-ready per la comunicazione tra agenti intelligenti, indipendentemente dal framework o dal provider che li ospita.

Il problema: isole di agenti incompatibili


Chi sviluppa sistemi multi-agente in ambienti aziendali lo sa bene: ogni team usa il proprio framework, ogni divisione ha i propri provider AI, e ogni volta che due agenti devono comunicare si finisce a scrivere codice di integrazione su misura. Il costo di questo «collante» cresce più in fretta del valore che gli agenti stessi producono.

Il protocollo A2A nasce esattamente per eliminare questa frizione. L’analogia è quella di HTTP e REST per i servizi web: prima di avere standard condivisi, ogni integrazione richiedeva codice proprietario. Dopo, è diventato possibile comporre servizi indipendentemente dal linguaggio o dalla piattaforma sottostante. A2A vuole fare la stessa cosa per gli agenti AI.

Chi c’è dietro A2A v1


Il protocollo è governato da un comitato tecnico con rappresentanti di AWS, Cisco, Google, IBM Research, Microsoft, Salesforce, SAP e ServiceNow. Non è un progetto Microsoft-only, ma uno standard aperto con ampio supporto industriale. La versione 1.0 segnala che il protocollo è maturo: i contorni aspri delle bozze precedenti sono stati levigati, le aree ambigue chiarite, e la superficie API è stata progettata per la durabilità nel tempo.

Novità di A2A v1 rispetto alla v0.3


Per chi veniva dalla versione precedente (v0.3), ecco cosa cambia:

  • Stabilità e supporto a lungo termine: v1.0 è la prima versione con garanzie di compatibilità stabile. L’investimento nel codice scritto oggi sarà protetto.
  • Funzionalità enterprise: supporto multi-tenancy, Agent Card firmate crittograficamente per la verifica dell’identità degli agenti, e flussi di sicurezza migliorati per ambienti regolamentati e multi-parte.
  • Architettura web-aligned: A2A v1 si appoggia su protocolli e pattern già consolidati nell’infrastruttura web. È possibile scalare le interazioni tra agenti usando gli stessi load balancer, gateway e strumenti di observability già in uso per i servizi HTTP.


Come funziona nel Microsoft Agent Framework per .NET


La filosofia di design del framework è che l’interoperabilità non deve richiedere una ristrutturazione del codice. Un agente remoto A2A appare nel codice esattamente come qualsiasi altro AIAgent locale: stessa interfaccia RunAsync, stesso streaming, stessa gestione della sessione.

Connettere un agente remoto A2A via discovery automatica


Il protocollo A2A definisce un percorso standard per la discovery degli agenti: /.well-known/agent-card.json. Con A2ACardResolver è possibile scoprire e istanziare un agente remoto in una sola chiamata:

using A2A;
using Microsoft.Agents.AI;

// Punta il resolver all'host dell'agente remoto
A2ACardResolver resolver = new(new Uri("https://a2a-agent.example.com"));

// Risolve l'Agent Card e crea un AIAgent in un solo passaggio
AIAgent agent = await resolver.GetAIAgentAsync();

// Usalo come qualsiasi altro AIAgent
Console.WriteLine(await agent.RunAsync("Qual è il meteo a Milano?"));

Configurazione diretta (per ambienti di sviluppo)


In scenari di sviluppo o sistemi strettamente accoppiati dove l’endpoint è già noto, si può creare un A2AClient direttamente:

using A2A;
using Microsoft.Agents.AI;

A2AClient a2aClient = new(new Uri("https://a2a-agent.example.com"));
AIAgent agent = a2aClient.AsAIAgent(
    name: "my-agent",
    description: "Un assistente specializzato.");

Console.WriteLine(await agent.RunAsync("Di cosa ti occupi?"));

Selezione del protocollo di trasporto


A2A v1 supporta più binding di protocollo. Per default, il framework preferisce HTTP+JSON con JSON-RPC come fallback. È possibile specificarlo esplicitamente:

A2ACardResolver resolver = new(new Uri("https://a2a-agent.example.com"));
A2AClientOptions options = new()
{
    PreferredBindings = [ProtocolBindingNames.HttpJson]
};
AIAgent agent = await resolver.GetAIAgentAsync(options: options);

Streaming in tempo reale


A2A supporta lo streaming via Server-Sent Events. RunStreamingAsync permette di ricevere aggiornamenti in tempo reale mentre l’agente elabora la risposta — particolarmente utile per task lunghi o per mostrare progressi all’utente:

await foreach (var update in agent.RunStreamingAsync("Analizza questo documento..."))
{
    Console.Write(update.Text);
}

Esporre il proprio agente come endpoint A2A


Il meccanismo funziona anche in senso inverso: qualsiasi AIAgent già costruito — su Microsoft Foundry, Azure OpenAI, OpenAI, Anthropic, AWS Bedrock o qualsiasi altro provider supportato — può essere esposto come endpoint A2A con poche righe di hosting. Nessun boilerplate di protocollo da scrivere, nessun refactoring necessario quando si decide di rendere un agente interno disponibile ad altri team o a partner esterni.

Quando ha senso adottare A2A v1


A2A v1 diventa rilevante non appena si esce dai prototipi mono-agente. I casi d’uso tipici includono:

  • Un agente di procurement che deve consultare un servizio di compliance di un partner
  • Un agente di customer support che cede il controllo a un agente specializzato di un’altra divisione
  • Pipeline di elaborazione dove agenti diversi (analisi, sintesi, verifica) sono costruiti da team differenti
  • Ecosistemi ISV dove prodotti di terze parti devono integrarsi con gli agenti della piattaforma principale


Conclusioni


A2A v1 è una tappa importante nell’evoluzione degli agenti AI verso sistemi distribuiti e interoperabili. La scelta di costruirlo come standard aperto con sponsorship industriale ampio — e non come API proprietaria Microsoft — è un segnale di maturità dell’ecosistema. Per i team .NET che stanno costruendo o pianificando sistemi multi-agente, vale la pena investire nella migrazione dalla v0.3 o nell’adozione diretta di v1: la stabilità garantita e le funzionalità enterprise rendono il protocollo adatto alla produzione oggi.

Fonte: A2A v1 Is Here – Microsoft Agent Framework Blog (Sergey Menshykh, Microsoft)

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

OPPO Reno 16 ufficiale a maggio: batteria da 7000 mAh, chip Dimensity 9500s e camera 200MP


OPPO ha aperto le prenotazioni per la serie Reno 16, confermando ufficialmente il lancio nel mese di maggio. Una mossa che anticipa di poco la presentazione ufficiale, ma che permette già di raccogliere importanti informazioni su specifiche e varianti disponibili. Due modelli al lancio, uno in arrivo La pagina di prenotazione conferma due modelli iniziali: OPPO Reno 16 standard e OPPO Reno 16 Pro. In un secondo momento, è atteso anche un modello Pro Max che completerà la gamma verso […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

OPPO ha aperto le prenotazioni per la serie Reno 16, confermando ufficialmente il lancio nel mese di maggio. Una mossa che anticipa di poco la presentazione ufficiale, ma che permette già di raccogliere importanti informazioni su specifiche e varianti disponibili.

Due modelli al lancio, uno in arrivo


La pagina di prenotazione conferma due modelli iniziali: OPPO Reno 16 standard e OPPO Reno 16 Pro. In un secondo momento, è atteso anche un modello Pro Max che completerà la gamma verso l’alto — una struttura già vista nelle generazioni precedenti della linea Reno.

Dimensity 9500s e fino a 1TB di storage


Sotto la scocca batte un processore MediaTek Dimensity 9500s, chip di fascia alta di ultima generazione che garantisce prestazioni di primo livello con un’eccellente efficienza energetica. Le configurazioni RAM/storage spaziano da 12GB/256GB fino a 16GB/1TB, anche se quest’ultima potrebbe non essere disponibile al lancio.

Le colorazioni disponibili saranno quattro: bianco, nero, viola e verde — una scelta classica ma che dovrebbe accontentare la maggior parte degli utenti.

Display 6,78″ e fotocamera da 200MP


Il display è un pannello LTPO da 6,78 pollici con risoluzione 1,5K e refresh rate variabile: un’ottima combinazione per fluidity e risparmio energetico. I bordi sono ridotti all’osso, per un look moderno e immersivo.

La fotocamera principale da 200 megapixel promette immagini ad altissima risoluzione, con dettagli che difficilmente si trovano in questa fascia di prezzo. La batteria, infine, si attesterebbe intorno ai 7000 mAh — un valore eccellente che punta a garantire un’autonomia di tutto rispetto anche con un uso intensivo.

Appuntamento a maggio per tutti i dettagli ufficiali su prezzi e disponibilità globale.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

OPPO prepara una rivoluzione per ColorOS 17: personalizzazione al livello di Samsung Good Lock


OPPO potrebbe presto colmare uno dei gap più sentiti rispetto ai competitor: la personalizzazione avanzata dell'interfaccia. Secondo informazioni provenienti da beta tester, ColorOS 17 includerebbe un nuovo sistema di personalizzazione paragonabile al celebre "Good Lock" di Samsung. Cos'è Good Lock e perché è un riferimento Per chi non lo conoscesse, Good Lock è una suite di moduli sviluppata da Samsung che permette di modificare in profondità l'aspetto e il comportamento di One UI. […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

OPPO potrebbe presto colmare uno dei gap più sentiti rispetto ai competitor: la personalizzazione avanzata dell’interfaccia. Secondo informazioni provenienti da beta tester, ColorOS 17 includerebbe un nuovo sistema di personalizzazione paragonabile al celebre “Good Lock” di Samsung.

Cos’è Good Lock e perché è un riferimento


Per chi non lo conoscesse, Good Lock è una suite di moduli sviluppata da Samsung che permette di modificare in profondità l’aspetto e il comportamento di One UI. Si può personalizzare la schermata di blocco, il pannello delle notifiche, le animazioni, la barra delle applicazioni recenti e molto altro ancora — tutto senza bisogno di root o modifiche di sistema.

Fino ad oggi, questa tipologia di personalizzazione avanzata era prerogativa quasi esclusiva di Samsung nel panorama Android. Se OPPO riuscisse davvero a introdurre qualcosa di simile in ColorOS 17, rappresenterebbe un salto qualitativo enorme per i propri utenti.

Le possibili funzioni in arrivo su ColorOS 17


Stando alle indiscrezioni, le funzionalità previste per il nuovo sistema di personalizzazione di OPPO includerebbero:

  • Modifica approfondita di temi, icone e font
  • Personalizzazione della schermata di blocco e del display always-on
  • Ottimizzazioni per la modalità a una mano
  • Riconfigurazione della status bar e del pannello delle impostazioni rapide
  • Animazioni personalizzabili di sistema


Quando arriverà ColorOS 17?


ColorOS 17 sarà quasi certamente basato su Android 17 e dovrebbe essere annunciato nella seconda metà del 2026. OPPO segue tradizionalmente i cicli di aggiornamento di Google, quindi l’attesa non dovrebbe essere eccessiva. Nel frattempo, è positivo sapere che l’azienda sta lavorando per portare su ColorOS funzioni che finora erano appannaggio esclusivo dei competitor.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Samsung studia un Galaxy Book con Android: addio a Windows su alcuni modelli?


Samsung potrebbe portare Android anche sui suoi notebook. Stando alle ultime indiscrezioni, l'azienda coreana starebbe esplorando la possibilità di lanciare una versione del Galaxy Book equipaggiata con Android e One UI, al posto del tradizionale Windows 11. Un notebook con One UI e Android L'idea di un laptop Android non è nuova — Google stessa ci ha provato con Chrome OS e, più di recente, con alcune integrazioni tra tablet e tastiera. Ma nel caso di Samsung, l'approccio sarebbe […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Samsung potrebbe portare Android anche sui suoi notebook. Stando alle ultime indiscrezioni, l’azienda coreana starebbe esplorando la possibilità di lanciare una versione del Galaxy Book equipaggiata con Android e One UI, al posto del tradizionale Windows 11.

Un notebook con One UI e Android


L’idea di un laptop Android non è nuova — Google stessa ci ha provato con Chrome OS e, più di recente, con alcune integrazioni tra tablet e tastiera. Ma nel caso di Samsung, l’approccio sarebbe diverso: si tratterebbe di un vero notebook con form factor tradizionale, ma con un sistema operativo ottimizzato per la produttività mobile.

L’utilizzo di Android con One UI potrebbe garantire un’esperienza più leggera e immediata rispetto a Windows, con tempi di avvio ridotti e una gestione energetica nettamente migliore. Per chi usa principalmente app Android, browser e servizi cloud, potrebbe essere la soluzione ideale.

I vantaggi di Android su laptop


Un Galaxy Book con Android presenterebbe alcuni vantaggi concreti rispetto alle versioni Windows:

  • Autonomia maggiore: Android è pensato per l’efficienza energetica, con ottimizzazioni che Windows non può replicare facilmente
  • Prezzo più contenuto: l’assenza della licenza Windows ridurrebbe il costo di produzione
  • Integrazione con l’ecosistema Samsung: sincronizzazione nativa con smartphone Galaxy, Galaxy Watch e altri dispositivi
  • Accesso al Google Play Store: milioni di app disponibili fin dal primo avvio


Un mercato ancora da conquistare


La sfida più grande rimane quella della produttività: molti utenti professionali dipendono da software disponibili solo su Windows o macOS. Samsung dovrebbe quindi posizionare questo ipotetico Galaxy Book Android come un dispositivo complementare, rivolto a chi cerca semplicità, connettività e lunga autonomia piuttosto che potenza elaborativa.

Per ora si tratta di voci non confermate, ma l’idea è intrigante e coerente con la strategia di Samsung di portare Android in nuovi segmenti di mercato.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Xiaomi 15 crolla di prezzo del 30%: stesso chip di Xperia 1 VII ma a metà costo


Xiaomi 15 è tornato prepotentemente sotto i riflettori grazie a un'offerta che ha fatto discutere: il flagship del brand cinese ha registrato un ribasso del 30%, portandosi a un prezzo significativamente più basso rispetto al suo principale rivale di fascia alta, il Sony Xperia 1 VII — nonostante i due condividano lo stesso processore di punta. Stesso Snapdragon, prezzo dimezzato Sia Xiaomi 15 che Sony Xperia 1 VII montano un processore Snapdragon di ultima generazione, il che li pone […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Xiaomi 15 è tornato prepotentemente sotto i riflettori grazie a un’offerta che ha fatto discutere: il flagship del brand cinese ha registrato un ribasso del 30%, portandosi a un prezzo significativamente più basso rispetto al suo principale rivale di fascia alta, il Sony Xperia 1 VII — nonostante i due condividano lo stesso processore di punta.

Stesso Snapdragon, prezzo dimezzato


Sia Xiaomi 15 che Sony Xperia 1 VII montano un processore Snapdragon di ultima generazione, il che li pone teoricamente sullo stesso piano in termini di potenza elaborativa. Eppure, con la promozione in corso, lo Xiaomi 15 è acquistabile a una cifra che rappresenta meno della metà del prezzo di listino dell’Xperia.

Una differenza di prezzo così marcata pone inevitabilmente una domanda: cosa giustifica il premium di Sony? La risposta va cercata nella filosofia produttiva dei due marchi. Sony punta su qualità costruttiva premium, display calibrato per contenuti multimediali professionali, fotocamere sviluppate con tecnologia Alpha e un software minimalista. Xiaomi, al contrario, punta su specifiche elevate e prezzi aggressivi, guadagnando quote di mercato attraverso il rapporto qualità-prezzo.

Le specifiche dello Xiaomi 15


Lo Xiaomi 15 è un flagship completo, dotato di fotocamera sviluppata in collaborazione con Leica (obiettivi Summilux), una tripla fotocamera da 50MP, batteria da 5410 mAh con ricarica rapida e display AMOLED di alta qualità. Un dispositivo che non ha nulla da invidiare ai top di gamma più blasonati — eppure costa sensibilmente meno.

Opportunità da non perdere


Per chi stava valutando un upgrade verso il segmento premium degli Android, questo sconto rappresenta un’occasione concreta. Lo Xiaomi 15 offre prestazioni di fascia altissima a un prezzo che, dopo la riduzione, si avvicina alla fascia media premium — un valore difficile da ignorare per gli appassionati più attenti al budget.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Motorola Signature: arriva la colorazione “House of Moto Indigo” firmata PANTONE


Il flagship di Motorola potrebbe presto arricchirsi di una nuova variante cromatica dal carattere decisamente esclusivo. Stando alle ultime indiscrezioni diffuse dal noto leaker Evan Blass, Motorola starebbe lavorando a una nuova colorazione per il suo modello di punta, il Motorola Signature: si chiamerà "House of Moto Indigo" e nascerà dalla collaborazione con PANTONE. Una colorazione sviluppata con PANTONE La partnership con PANTONE non è una novità nel mondo degli smartphone — […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Il flagship di Motorola potrebbe presto arricchirsi di una nuova variante cromatica dal carattere decisamente esclusivo. Stando alle ultime indiscrezioni diffuse dal noto leaker Evan Blass, Motorola starebbe lavorando a una nuova colorazione per il suo modello di punta, il Motorola Signature: si chiamerà “House of Moto Indigo” e nascerà dalla collaborazione con PANTONE.

Una colorazione sviluppata con PANTONE


La partnership con PANTONE non è una novità nel mondo degli smartphone — anche altre case produttrici hanno collaborato con l’istituto di riferimento per i colori — ma nel caso del Motorola Signature assume un significato particolare. Il modello si posiziona già come un device premium, e l’arrivo di una colorazione “indigo” profonda, con sfumature di blu scuro e viola, va a rafforzare ulteriormente l’identità lussuosa del prodotto.

Dalle immagini trapelate, il nuovo colore presenta una finitura ricercata sul pannello posteriore, con riflessi che variano a seconda dell’inclinazione della luce. Un design pensato chiaramente per chi cerca qualcosa di diverso dai classici nero, bianco e argento.

Il Motorola Signature punta sul lusso


Il Motorola Signature è stato presentato come il dispositivo di riferimento dell’azienda nel segmento high-end, con materiali premium e specifiche tecniche di primo piano. L’aggiunta di una colorazione esclusiva come “House of Moto Indigo” rientra in una strategia più ampia volta a distinguere il brand in un mercato sempre più affollato.

Al momento non sono state comunicate date ufficiali per la disponibilità di questa nuova variante, né eventuali differenze di prezzo rispetto alle colorazioni già in commercio. Restate sintonizzati per ulteriori aggiornamenti.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciata Grml 2026.04: la distribuzione GNU/Linux per amministratori di sistema e appassionati della riga di comando


Grml è una distribuzione GNU/Linux Live, basata su Debian e progettata specificamente per amministratori di sistema e utenti che prediligono strumenti testuali avanzati. Nata come progetto open source e completamente libera, Grml si distingue per la sua leggerezza, affidabilità e per...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato Calibre 9.8: Novità e Miglioramenti


Calibre è un’applicazione per la gestione completa degli e‑book, progettata per organizzare, convertire e sincronizzare libri digitali all’interno della propria distribuzione GNU/Linux o su altri sistemi operativi. La crescente diffusione dei libri digitali, leggibili su dispositivi come lettori...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato Shotcut 26.4: il software di video editing open source introduce l’accelerazione GPU per la conversione da voce a testo


Shotcut è un editor video open source molto apprezzato per la sua versatilità, la semplicità d’uso e la capacità di funzionare su più sistemi operativi. Nato nel 2011 come progetto sviluppato da Meltytech, LLC, il programma ha conosciuto una crescita costante...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Linux Mint 22.3: Disponibili le immagini ISO HWE con il kernel Linux 6.17 per il download


Il progetto Linux Mint ha recentemente annunciato la pubblicazione delle ISO HWE per la versione 22.3 della propria distribuzione GNU/Linux, arricchite con il kernel Linux 6.17. Questa novità è pensata per garantire un miglior...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciata AerynOS 2026.05: la distribuzione GNU/Linux indipendente si aggiorna con molte novità


AerynOS è una distribuzione GNU/Linux indipendente, sviluppata grazie all’iniziativa di Ikey Doherty, già noto come fondatore del progetto Solus, una delle distribuzioni GNU/Linux più apprezzate per semplicità e cura progettuale. AerynOS nasce con l’obiettivo di offrire un sistema operativo libero, moderno...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

18 estensioni browser AI come RAT e Spyware: Unit 42 smonta la facciata dei tool GenAI per la produttività


Il team Unit 42 di Palo Alto Networks ha identificato 18 estensioni Chrome mascherate da tool di produttività AI che nascondono trojan ad accesso remoto (RAT), attacchi meddler-in-the-middle, infostealer e spyware. Le tecniche includono WebSocket C2 persistente, hooking delle API browser, osservazione passiva del DOM e decifrazione del traffico HTTPS via Chrome Debugger Protocol. Alcuni campioni contengono codice generato da LLM, segnale di una industrializzazione della produzione di malware bro
The media in this post is not displayed to visitors. To view it, please go to the original post.

Con la diffusione esplosiva degli strumenti di intelligenza artificiale generativa, il Chrome Web Store è diventato il nuovo vettore privilegiato per la distribuzione di malware camuffato da produttività. Il team Unit 42 di Palo Alto Networks ha pubblicato il 30 aprile 2026 una ricerca sistematica che documenta 18 estensioni browser ad alto rischio — commercializzate come assistenti AI per email, coding e ricerca — che nascondono Remote Access Trojan (RAT), attacchi meddler-in-the-middle (MitM), infostealer e spyware a tutti gli effetti. Google ha rimosso o emesso avvisi sulle estensioni segnalate, ma la ricerca espone un problema strutturale: il modello di permessi delle estensioni browser, combinato con la fiducia degli utenti verso i tool AI, crea una superficie di attacco lato client difficile da presidiare.

Perché le estensioni AI sono un bersaglio ideale


Le estensioni browser operano all’interno del processo trusted del browser con permessi concessi dall’utente. Possono leggere e modificare contenuti web, intercettare richieste di rete, accedere ai cookie e comunicare con server esterni — le stesse capacità di strumenti legittimi come ad blocker, password manager e tool per sviluppatori. La distinzione tra uno strumento legittimo e uno malevolo è invisibile all’utente medio.

L’AI generativa amplifica il rischio in modo qualitativo. Quando un utente digita un prompt in un servizio AI come ChatGPT o Claude, condivide routinariamente codice proprietario, bozze di comunicazioni riservate e piani strategici. Un’estensione posizionata tra l’utente e il servizio AI intercetta dati di valore incomparabilmente superiore ai metadati di navigazione tradizionalmente presi di mira dal browser malware. Unit 42 ha rilevato campioni specifici che prendono di mira i prompt inviati a ChatGPT prima che lascino il dispositivo, esfiltrandoli verso domini a bassa reputazione.

Le tecniche di attacco documentate da Unit 42


L’analisi retrospettiva di Unit 42 ha identificato cinque tecniche ricorrenti nelle 18 estensioni ad alto rischio:

1. WebSocket C2 persistente


Le estensioni stabiliscono connessioni WebSocket bidirezionali verso server C2 remoti. La connessione si riconnette automaticamente agli interrupt di rete e persiste attraverso i riavvii del browser senza richiedere iniezione di processo. Il traffico appare come normale traffico HTTPS dal punto di vista della rete. L’esempio più esplicito è “Chrome MCP Server – AI Browser Control”: mascherato da tool di automazione basato su Model Context Protocol, è di fatto un RAT completo che si connette a wss://mcp-browser.qubecare[.]ai/chrome, con la listing che riportava falsamente “100% local processing – your data never leaves your browser”.

2. Browser API Hooking


Gli script di contenuto sostituiscono le API native del browser (window.fetch o XMLHttpRequest) per intercettare le richieste di rete prima della trasmissione. In questo modo l’estensione può leggere il payload di qualsiasi richiesta — incluse quelle cifrate — prima che lascino la pagina. Questa tecnica permette la cattura di prompt, credenziali di form e token di sessione.

3. Osservazione passiva del DOM


Gli script di contenuto monitorano passivamente le modifiche al Document Object Model (DOM) in applicazioni target come Gmail o Notion. L’estensione legge il contenuto renderizzato — testo in chiaro di email composte, note, messaggi — e lo trasmette in chiaro a server esterni. Unit 42 ha documentato casi in cui il contenuto delle email e gli OTP vengono esfiltrati tramite questa tecnica prima ancora dell’invio.

4. Traffic Proxying via PAC


Alcune estensioni configurano le impostazioni proxy del browser tramite file PAC (Proxy Auto-Configuration) per instradare il traffico attraverso infrastrutture controllate dall’attaccante. Questo approccio non richiede permission esplicite per i singoli siti e opera in modo trasparente per l’utente.

5. Decifrazione HTTPS via Chrome Debugger Protocol


La tecnica più sofisticata: alcune estensioni agganciano il Chrome Debugger Protocol per leggere il corpo delle risposte HTTPS già decifrate. Questo bypassa la protezione della cifratura transport-layer, consentendo l’intercettazione di qualsiasi risposta HTTPS — incluse risposte delle API AI, contenuti bancari e dati di sessione autenticati.

Il ruolo degli LLM nella produzione industriale di malware browser


Un dato particolarmente significativo: diversi campioni analizzati da Unit 42 contenevano fingerprint di codice generato da LLM. I threat actor stanno utilizzando strumenti di code generation AI per accelerare lo sviluppo di estensioni malevole e scalare le campagne. Questo abbassa drasticamente la barriera tecnica per la produzione di browser malware sofisticato e rende obsoleta la correlazione tra qualità del codice e minaccia reale. La stessa tecnologia che promette produttività agli utenti legittimi viene weaponizzata per costruire più velocemente gli strumenti del crimine informatico.

Le estensioni analizzate (case study)


Tra le 18 estensioni documentate da Unit 42 con comportamenti ad alto rischio, i principali case study includono: Chrome MCP Server – AI Browser Control (RAT completo via WebSocket), Supersonic AI (infostealer di prompt), Reverse Recruiting (esfiltrazione di dati di profilo e comunicazioni), Chat AI for Chrome (intercettazione conversazioni AI), e l’estensione di traduzione Huiyi (spyware con DOM observation). Tutti si presentavano come tool di produttività AI legittimi con descrizioni convincenti sullo store Chrome.

Qualche raccomandazione


  • Gestione centralizzata delle estensioni: le organizzazioni dovrebbero implementare policy di allowlisting delle estensioni browser tramite Chrome Enterprise o equivalente, vietando l’installazione autonoma da parte degli utenti su dispositivi aziendali.
  • Principio del minimo privilegio per le estensioni: auditare i permessi richiesti da tutte le estensioni installate. Un’estensione che chiede accesso a debugger, webRequest, proxy e storage.sync contemporaneamente dovrebbe essere trattata con estrema cautela.
  • Diffidare delle promesse di privacy locale: affermazioni come “100% local processing” non sono verificabili dall’utente e sono state documentate come false in almeno un caso della ricerca.
  • Monitoraggio del traffico di rete: le connessioni WebSocket persistenti verso domini a bassa reputazione da processi browser sono un segnale di allarme rilevabile a livello di proxy/firewall aziendale.
  • Aggiornare le policy di sicurezza per includere esplicitamente le estensioni browser AI come superficie di rischio, alla stregua di software di terze parti installato.

Fonte primaria: Unit 42, Palo Alto Networks, “That AI Extension Helping You Write Emails? It’s Reading Them First”, 30 aprile 2026. Le 18 estensioni sono state segnalate a Google, che ha rimosso o inviato avvisi ai proprietari per violazione delle policy.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Il podcast di Marco’s Box #217 – Una puntata polemica


Nuova del podcast di Marco's Box, questa volta dedicata a commentare le principali notizie dal mondo di linux e del software libero e open source.
L'articolo Il podcast di Marco’s Box #217 – Una puntata polemica proviene da Marco's Box.

🔗 Leggi il post completo

#217

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Pixel 11 con “Pixel Glow”: torna il LED di notifica e si integra con Gemini AI


Google potrebbe riportare in vita una delle funzioni più amate dagli appassionati Android: il LED di notifica. Il prossimo Pixel 11, o un futuro modello della famiglia Pixel, sembra destinato a integrare una nuova funzione luminosa chiamata "Pixel Glow", capace di andare ben oltre il semplice avviso per i messaggi in arrivo. Trovato il codice nell'app diagnostica Le tracce di questa funzione sono emerse dall'analisi del codice dell'applicazione diagnostica dedicata ai dispositivi Pixel. […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Google potrebbe riportare in vita una delle funzioni più amate dagli appassionati Android: il LED di notifica. Il prossimo Pixel 11, o un futuro modello della famiglia Pixel, sembra destinato a integrare una nuova funzione luminosa chiamata “Pixel Glow”, capace di andare ben oltre il semplice avviso per i messaggi in arrivo.

Trovato il codice nell’app diagnostica


Le tracce di questa funzione sono emerse dall’analisi del codice dell’applicazione diagnostica dedicata ai dispositivi Pixel. All’interno sono presenti riferimenti a un “Color LED” con test di accensione in rosso, verde e blu. La scoperta suggerisce che Google stia lavorando attivamente all’implementazione di un componente LED fisico sui prossimi Pixel.

Pixel Glow, Gemini Glow e Aurora: non solo notifiche


Ciò che rende questa funzione davvero interessante è il collegamento con l’intelligenza artificiale. Nel codice compaiono riferimenti come “Pixel Glow”, “Pixel Lights” e soprattutto “Gemini Glow” e “Aurora”. Quest’ultimo, in particolare, suggerisce un effetto luminoso dinamico e animato, probabilmente legato allo stato dell’assistente Gemini. Il LED potrebbe quindi indicare visivamente quando l’IA è in ascolto, sta elaborando una risposta o ha terminato un’operazione.

Dove sarà posizionato? Ancora incerto


La posizione fisica del LED sul dispositivo non è ancora chiara. Le ipotesi più accreditate parlano di un’integrazione attorno alla fotocamera o nel logo sul retro del telefono. Non è nemmeno chiaro se si tratterà di un semplice LED monocromatico o di un componente capace di effetti sfumati e animati, come suggerirebbe il nome “Aurora”.

Un ritorno atteso da molti


Il LED di notifica era una caratteristica presente su molti Android fino a qualche anno fa, poi gradualmente abbandonata in favore dei display always-on. Il suo ritorno, arricchito dall’integrazione con Gemini, potrebbe essere accolto con entusiasmo dagli utenti che ne sentivano la mancanza. La funzione potrebbe debuttare con il Pixel 11, atteso nella seconda metà del 2026.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Oppo Find X10: fotocamera da 200MP e batteria da 8.000 mAh nelle ultime indiscrezioni


Il prossimo flagship di Oppo, il Find X10, continua ad accumulare indiscrezioni. Questa volta a finire sotto i riflettori sono il comparto fotografico e le specifiche tecniche, che tracciano il profilo di uno smartphone di punta estremamente ambizioso, soprattutto sul fronte dell'autonomia. Fotocamera principale da 200MP con sensore grande Secondo le ultime informazioni trapelate, l'Oppo Find X10 monterà un sensore principale da 200 megapixel con dimensioni di circa 1/1.4 pollici. Un […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Il prossimo flagship di Oppo, il Find X10, continua ad accumulare indiscrezioni. Questa volta a finire sotto i riflettori sono il comparto fotografico e le specifiche tecniche, che tracciano il profilo di uno smartphone di punta estremamente ambizioso, soprattutto sul fronte dell’autonomia.

Fotocamera principale da 200MP con sensore grande


Secondo le ultime informazioni trapelate, l’Oppo Find X10 monterà un sensore principale da 200 megapixel con dimensioni di circa 1/1.4 pollici. Un abbinamento che promette immagini ad altissima risoluzione con una buona raccolta della luce, caratteristica fondamentale per la qualità fotografica specialmente in condizioni di scarsa illuminazione.

Il teleobiettivo periscopico: due opzioni sul tavolo


Per il teleobiettivo periscopico, Oppo starebbe valutando due diverse soluzioni: un sensore da 200MP basato su tecnologia esistente oppure un nuovo sensore da 64MP con una tecnologia più avanzata. La configurazione finale non è ancora stata decisa, e potrebbe essere resa nota solo in prossimità del lancio. Ciò lascia aperta la possibilità di una doppia fotocamera ultra-alta risoluzione (200MP + 200MP) o di una combinazione più equilibrata (200MP + 64MP).

Display 165Hz, batteria da 8.000 mAh e Dimensity 9500+


Le altre specifiche sono altrettanto interessanti. Il display dovrebbe essere piatto con risoluzione 1.5K e frequenza di aggiornamento a 165Hz. La batteria è indicata in circa 8.000 mAh, una capacità eccezionale per un dispositivo flagship, che promette un’autonomia di tutto rispetto. Sotto la scocca dovrebbe trovare posto il chip Dimensity 9500 o la sua variante potenziata 9500+, prodotto a 3nm. Il software sarà basato su Android 17 con ColorOS 17.

Lancio atteso nella seconda metà del 2026


L’Oppo Find X10 dovrebbe essere lanciato in Cina intorno a ottobre 2026, con eventuali versioni globali che potrebbero seguire qualche mese dopo. Si tratta ancora di informazioni non confermate, ma la quantità e la coerenza delle indiscrezioni fanno ben sperare sulla loro affidabilità.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Moto G87: design trapelato e fotocamera da 200MP per il nuovo mid-range Motorola


Il Moto G87 si mostra per la prima volta in immagini di rendering trapelate in rete. Il nuovo mid-range di Motorola, la cui esistenza era già stata confermata dal sito ufficiale del produttore, delinea le sue forme e rivela alcune specifiche chiave, tra cui una fotocamera principale potenzialmente da 200 megapixel. Design piatto con modulo fotocamera compatto Dai render emersi online, il Moto G87 mostra un design con bordi piatti e un modulo fotocamera di forma quadrata sul retro, coerente […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Il Moto G87 si mostra per la prima volta in immagini di rendering trapelate in rete. Il nuovo mid-range di Motorola, la cui esistenza era già stata confermata dal sito ufficiale del produttore, delinea le sue forme e rivela alcune specifiche chiave, tra cui una fotocamera principale potenzialmente da 200 megapixel.

Design piatto con modulo fotocamera compatto


Dai render emersi online, il Moto G87 mostra un design con bordi piatti e un modulo fotocamera di forma quadrata sul retro, coerente con lo stile attuale della gamma G. Il dispositivo è previsto in due colorazioni in collaborazione con Pantone: il classico Overture Gray (grigio sobrio) e il vivace Blue Atoll (azzurro brillante). Il display sarà di tipo piatto, scelta apprezzata da molti utenti che preferiscono la praticità ai bordi curvi.

200MP nel segmento mid-range: una rarità


La notizia più sorprendente riguarda la fotocamera: il Moto G87 potrebbe montare un sensore principale da 200MP, una risoluzione finora riservata quasi esclusivamente agli smartphone di fascia alta. Si tratta di una mossa coraggiosa da parte di Motorola, che punterebbe a differenziare il G87 dalla concorrenza e a soddisfare chi cerca un’esperienza fotografica più avanzata senza pagare il prezzo di un flagship.

Posizionamento e disponibilità


Il Moto G87 si collocherà come modello di riferimento della gamma G, un gradino sopra il G37 annunciato in contemporanea. Non sono ancora disponibili informazioni sui prezzi o sulle date di lancio ufficiali per il mercato europeo, ma considerando il posizionamento mid-range del dispositivo, ci si aspetta una fascia di prezzo compresa tra 250 e 350 euro. Maggiori dettagli arriveranno nei prossimi mesi con il lancio ufficiale.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

PowerToys 0.99: Grab And Move, Power Display e miglioramenti a Command Palette


PowerToys 0.99 introduce due nuove utility in anteprima: Grab And Move per trascinare e ridimensionare finestre da qualsiasi punto, e Power Display per controllare i monitor hardware direttamente dal system tray. Ecco tutte le novità.
The media in this post is not displayed to visitors. To view it, please go to the original post.

Microsoft ha rilasciato PowerToys 0.99, un aggiornamento ricco di novità per sviluppatori e utenti avanzati di Windows. Il protagonista di questa release è l’introduzione di due nuove utility in anteprima: Grab And Move e Power Display, insieme a una serie di miglioramenti significativi a Command Palette e al Dock. Vediamo nel dettaglio cosa cambia.

Grab And Move: trascina le finestre da qualsiasi punto


Chi lavora su monitor grandi o con molte finestre aperte conosce bene il problema: per spostare una finestra bisogna mirare con precisione alla barra del titolo, spesso sottile pochi pixel. Grab And Move risolve questo limite permettendo di trascinare qualsiasi finestra tenendo premuto Alt + Click sinistro ovunque sulla finestra stessa.

Lo stesso vale per il ridimensionamento: Alt + Click destro avvia l’operazione di resize dal punto esatto in cui si trova il cursore, senza dover raggiungere i bordi della finestra. Per chi già usa Alt come modificatore di sistema, è possibile passare al tasto Win come alternativa.

Grab And Move è particolarmente utile in questi scenari:

  • Monitor ad alta risoluzione dove le barre del titolo sono sottilissime in scala DPI
  • Finestre che sono finite parzialmente fuori schermo e sono difficili da afferrare
  • Applicazioni che nascondono la barra del titolo o usano layout custom
  • Workflow con tante finestre sovrapposte dove la precisione è critica

L’utility si integra con il sistema di impostazioni di PowerToys, supporta le Group Policy (GPO) per ambienti aziendali e include una pagina OOBE per la prima configurazione.

Power Display: controllo monitor dal system tray


La seconda novità di rilievo è Power Display, una utility che porta il controllo hardware dei monitor direttamente nel system tray di Windows, eliminando la necessità di cercare i pulsanti fisici sul retro dello schermo.

Una volta abilitata, un’icona nella tray apre un flyout che mostra i monitor collegati al sistema. Per i display compatibili, Power Display permette di regolare:

  • Luminosità e contrasto
  • Volume audio del monitor
  • Profilo colore

Una delle funzionalità più interessanti è la gestione dei profili: è possibile salvare configurazioni complete (es. «modalità sviluppo» con alta luminosità e temperatura colore neutra, oppure «serata» con luminosità ridotta e toni caldi) e passare da uno all’altro con un clic singolo dal flyout.

Power Display si integra anche con Light Switch: nella configurazione di Light Switch è possibile associare un profilo monitor al cambio di tema chiaro/scuro, così quando Windows passa automaticamente al tema scuro la sera, anche il monitor si adatta.

Command Palette e Dock: Compact mode e cronologia calcolatrice


Command Palette riceve in questa release una serie di miglioramenti alla stabilità e alle performance, insieme a nuove funzionalità:

  • Compact Dock: quando il Dock è posizionato in alto o in basso, è ora disponibile una modalità compatta che nasconde il sottotitolo, rendendo il layout più essenziale e meno ingombrante.
  • Cronologia della calcolatrice: i calcoli vengono ora salvati in modo persistente, con la possibilità di riutilizzare, eliminare o cancellare le voci precedenti. È anche possibile configurare l’azione primaria e sostituire la query premendo Invio.
  • Pinning migliorato: quando si aggiunge un comando al Dock, un nuovo dialogo consente di scegliere la posizione e se mostrare o nascondere titolo e sottotitolo.
  • Supporto nuovi content type: le estensioni possono ora esporre contenuti di tipo plain text e image viewer direttamente nel pannello dei contenuti.
  • Affidabilità: corretti due crash legati alla digitazione, migliorato il caricamento delle estensioni in modo che un’estensione difettosa non mandi in crash l’intera lista, e aggiunto il supporto a Windows Terminal profile pinning.

Il Dock ora supporta anche la modalità always-on-top, tenendosi visibile sopra le altre finestre — utile per chi lo usa come launcher rapido.

Come aggiornare


PowerToys 0.99 è disponibile tramite Windows Package Manager (WinGet) oppure direttamente dalla pagina delle release su GitHub. Se avete già PowerToys installato, l’aggiornamento automatico dovrebbe proporvelo a breve nelle impostazioni dell’app.

winget upgrade Microsoft.PowerToys

Le due nuove utility (Grab And Move e Power Display) sono in anteprima e disabilitate di default: dovrete attivarle manualmente dalle impostazioni di PowerToys per cominciare a usarle.

Conclusioni


PowerToys 0.99 si conferma come uno strumento imprescindibile per chi usa Windows in modo intensivo. Grab And Move risolve un problema di usabilità quotidiana che molti utenti conoscono, mentre Power Display porta finalmente un controllo centralizzato dei monitor senza software proprietari. Gli aggiornamenti a Command Palette completano un rilascio solido che vale l’aggiornamento immediato.

Fonte: PowerToys 0.99 is here – Windows Command Line Blog (Niels Laute, Microsoft)

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

LAPSUS$ colpisce Checkmarx: 95 GB di codice sorgente su dark web e la supply chain dei tool di sicurezza nel mirino


Il gruppo LAPSUS$ ha pubblicato sul dark web 95 GB di dati riservati di Checkmarx — codice sorgente, chiavi API, credenziali di database — frutto di un breach iniziato il 23 marzo 2026 tramite la campagna supply chain TeamPCP. L'incidente colpisce uno dei principali vendor di analisi statica del codice e mette a rischio i team DevSecOps che hanno usato le immagini Docker KICS o le estensioni VS Code nel periodo compromesso.
The media in this post is not displayed to visitors. To view it, please go to the original post.

Quando a essere violato è uno dei principali vendor di sicurezza applicativa — uno strumento usato per rilevare vulnerabilità nel codice altrui — le implicazioni si estendono ben oltre l’azienda stessa. Il gruppo LAPSUS$ ha pubblicato sul dark web 95 gigabyte di dati riservati di Checkmarx, inclusi codice sorgente, chiavi API e credenziali di database. È l’ultimo capitolo di una campagna supply chain orchestrata da un attore noto come TeamPCP, che da settimane sta sistematicamente compromettendo l’ecosistema degli strumenti di sviluppo e sicurezza.

Cosa è stato esfiltrato


Il 25 aprile 2026, LAPSUS$ ha rivendicato pubblicamente l’attacco a Checkmarx, pubblicando un archivio di circa 95 GB che include codice sorgente dei repository GitHub privati dell’azienda (tra cui componenti di KICS, il motore open source per la scansione di configurazioni cloud e IaC), un database dei dipendenti con informazioni personali e credenziali interne, chiavi API per servizi di terze parti e integrazioni, e credenziali di database MongoDB e MySQL dell’ambiente di sviluppo.

Checkmarx ha confermato l’autenticità del dump in un advisory pubblicato il 26 aprile, precisando che i repository GitHub compromessi sono separati dall’ambiente di produzione per i clienti e che nessun dato cliente è stato esposto direttamente. Tuttavia, la presenza di chiavi API e credenziali nei file esfiltrati amplia significativamente la superficie di attacco potenziale.

Il vettore: la campagna supply chain TeamPCP


L’accesso ai sistemi di Checkmarx non è stato ottenuto tramite un attacco diretto, ma attraverso la compromissione della supply chain di sviluppo software. La data del breach originale è il 23 marzo 2026, quando TeamPCP ha iniettato codice malevolo in componenti dell’ecosistema Checkmarx disponibili pubblicamente. Le immagini Docker KICS ufficiali su Docker Hub sono state sostituite con versioni trojanizzate contenenti uno stealer di credenziali: gli sviluppatori che le utilizzavano nelle pipeline CI/CD scaricavano automaticamente il malware. Parallelamente, due estensioni VS Code correlate a Checkmarx pubblicate su marketplace sono state compromesse con funzionalità di esfiltrazione che operavano silenziosamente in background.

Il nome TeamPCP emerge anche in connessione con le 73 estensioni malicious su Open VSX scoperte a fine aprile, suggerendo una campagna coordinata e ad ampio raggio contro l’intero ecosistema degli strumenti DevSecOps. Il modello è chiaro: compromettere prima gli strumenti che gli sviluppatori di sicurezza usano quotidianamente, per poi risalire — tramite le credenziali rubate — ai sistemi più preziosi.

Chi è LAPSUS$


LAPSUS$ è un gruppo di cybercrime con una storia operativa peculiare: composto prevalentemente da giovani hacker (diversi dei quali minorenni all’epoca degli attacchi), il gruppo si è distinto tra il 2021 e il 2022 per una serie di operazioni ad alto profilo contro Nvidia, Samsung, Okta, Microsoft e Uber, utilizzando principalmente tecniche di social engineering e SIM swapping piuttosto che exploit tecnici sofisticati. Dopo una serie di arresti nel 2022-2023, il gruppo sembrava smantellato. La ricomparsa nel 2026, questa volta sfruttando l’infrastruttura supply chain di TeamPCP come vettore di accesso iniziale, dimostra una capacità di adattamento e riorganizzazione che rende LAPSUS$ una minaccia ancora attiva.

Timeline dell’incidente


  • 23 marzo 2026: TeamPCP compromette le immagini Docker KICS e le estensioni VS Code; furto delle credenziali Checkmarx GitHub
  • Fine marzo – inizio aprile 2026: esfiltrazione massiva dei 95 GB di repository privati
  • 25 aprile 2026: LAPSUS$ pubblica il data dump sul dark web e rivendica l’attacco
  • 26 aprile 2026: Checkmarx pubblica un advisory confermando la violazione e bloccando l’accesso al repository compromesso
  • 29 aprile 2026: il dump viene diffuso pubblicamente in forum accessibili, aumentando il rischio di sfruttamento secondario delle chiavi API esposte


Implicazioni per gli utenti Checkmarx e i team DevSecOps


La violazione di Checkmarx solleva preoccupazioni su più livelli. In primo luogo, l’esposizione del codice sorgente dei motori di analisi potrebbe consentire ad attori malevoli di identificare potenziali vulnerabilità nelle logiche di scanning, aprendo la porta ad attacchi che bypassano o manipolano i risultati dell’analisi statica del codice. In secondo luogo, i team che hanno utilizzato immagini Docker KICS o le estensioni VS Code compromesse tra marzo e aprile 2026 devono considerarsi potenzialmente compromessi e procedere con un’indagine forensica.

Indicatori di Compromissione e azioni immediate

# Immagini Docker KICS compromesse (periodo a rischio: 23/03 - 26/04/2026)
checkmarx/kics:latest  # verificare hash con: docker inspect --format='{{.Id}}' checkmarx/kics:latest
checkmarx/kics:v1.7.x  # controllare con advisory ufficiale Checkmarx
# Credenziali da ruotare immediatamente se si è usato KICS Docker nel periodo a rischio:
# - Token GitHub con accesso ai repository
# - Chiavi API Checkmarx
# - Credenziali MongoDB/MySQL condivise con l'ambiente di sviluppo
# - Segreti nelle pipeline CI/CD (GitHub Actions, GitLab CI, Jenkins)
# Verifica estensioni VS Code compromesse:
# Controllare l'elenco completo nel security advisory ufficiale su checkmarx.com/blog/checkmarx-security-update-april-26/
# Log da analizzare per pull sospetti (pipeline CI/CD):
# grep -r "checkmarx/kics" .github/workflows/ .gitlab-ci.yml Jenkinsfile

Consigli per i difensori


L’attacco a Checkmarx è emblematico di una tendenza sempre più preoccupante: i tool di sicurezza stessi diventano vettori di attacco. È necessario verificare i log delle pipeline CI/CD tra il 23 marzo e il 26 aprile 2026 per identificare eventuali pull di immagini Checkmarx da Docker Hub. Qualsiasi segreto memorizzato nell’ambiente di sviluppo deve essere considerato compromesso e sostituito immediatamente. Le estensioni VS Code Checkmarx vanno rimosse e reinstallate da sorgenti verificate e firmate. Il monitoraggio del dark web nei prossimi mesi è raccomandato: i 95 GB esfiltrati contengono informazioni che potrebbero essere sfruttate per attacchi secondari a lungo termine.

Più in generale, questo incidente sottolinea l’urgenza di adottare il principio del least privilege nelle pipeline CI/CD: i processi automatizzati non dovrebbero avere accesso a credenziali di produzione. L’isolamento degli ambienti — sviluppo, staging, produzione — e la firma crittografica delle immagini container (tramite strumenti come Cosign e la policy enforcement con Kyverno o OPA) limitano significativamente il blast radius di compromissioni simili. Quando a essere attaccato è chi produce gli strumenti di difesa, l’unica risposta efficace è l’architettura zero-trust applicata anche all’infrastruttura DevSecOps.

Questa voce è stata modificata (2 mesi fa)

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Mini Shai-Hulud: TeamPCP compromette i pacchetti npm ufficiali di SAP in un attacco supply chain enterprise


Il gruppo TeamPCP ha compromesso i pacchetti npm ufficiali di SAP in un attacco supply chain denominato 'Mini Shai-Hulud': versioni malevole pubblicate il 29 aprile 2026 rubano credenziali AWS, Azure, GCP, token GitHub e segreti CI/CD tramite un payload multistadio basato sul runtime Bun, con esfiltrazione cifrata su repository GitHub pubblici.
The media in this post is not displayed to visitors. To view it, please go to the original post.

Il 29 aprile 2026, il gruppo TeamPCP ha compromesso i pacchetti npm ufficiali di SAP in quello che i ricercatori di Wiz hanno battezzato “Mini Shai-Hulud”: un attacco alla supply chain enterprise di estrema rilevanza che ha preso di mira gli ambienti di sviluppo e CI/CD di organizzazioni che utilizzano il Cloud Application Programming Model (CAP) e Cloud MTA di SAP. L’operazione si distingue per la sofisticazione del meccanismo di esfiltrazione e per la capacità di rubare credenziali da praticamente ogni sistema cloud aziendale utilizzato dagli sviluppatori colpiti.

SAP nell’occhio del ciclone: perché questa supply chain attack è critica


SAP è il backbone ERP di migliaia di aziende enterprise globali. Il suo Cloud Application Programming Model (CAP) è il framework ufficiale per costruire applicazioni cloud-native su SAP Business Technology Platform. Una compromissione dei pacchetti npm di SAP CAP non è, quindi, un attacco a una libreria open source di nicchia: è un’iniezione di malware nel cuore degli ambienti di sviluppo enterprise, con accesso diretto a credenziali di produzione, segreti CI/CD e infrastrutture cloud di organizzazioni Fortune 500.

La finestra temporale dell’attacco è stata precisa e calcolata: le versioni malevole dei pacchetti SAP sono state pubblicate su npm il 29 aprile 2026 tra le 09:55 UTC e le 12:14 UTC — un arco di circa due ore e mezza. Questo tipo di timing suggerisce un’operazione pianificata per massimizzare la finestra di esposizione prima che i team di sicurezza potessero reagire, sfruttando le ore mattutine dei fusi orari europei e americani durante le quali i sistemi CI/CD eseguono build automatizzate.

Anatomia dell’attacco: da preinstall script a credential stealer


Il meccanismo di attacco sfrutta una caratteristica legittima del registry npm: gli script preinstall, che vengono eseguiti automaticamente ogni volta che un pacchetto viene installato come dipendenza. I ricercatori di Socket e Wiz hanno ricostruito la catena di infezione in tre fasi distinte.

Fase 1 — Bootstrap con Bun: Lo script preinstall esegue un loader chiamato setup.mjs che scarica da GitHub il runtime JavaScript Bun. L’utilizzo di Bun anziché Node.js è un’indicazione tattica: Bun è meno monitorato dai tool di sicurezza aziendali ed è più difficile da rilevare in ambienti enterprise dove Node.js è già whitelistato. Questo scaricamento di un binary non verificato è di per sé sufficiente per classificare il pacchetto come malevolo.

Fase 2 — Execution payload offuscato: Il runtime Bun viene utilizzato per eseguire un payload denominato execution.js, pesantemente offuscato. Il payload implementa logiche di raccolta credenziali e meccanismi anti-analisi per complicare il reverse engineering.

Fase 3 — Esfiltrazione crittografata: I dati rubati vengono cifrati con una chiave RSA pubblica hardcoded nel malware e caricati su repository GitHub pubblici creati sull’account della stessa vittima — con la descrizione ironica “A Mini Shai-Hulud has Appeared” (riferimento al verme del deserto di Dune). Questa tecnica di esfiltrazione tramite GitHub è particolarmente insidiosa poiché il traffico verso github.com è raramente bloccato nelle reti aziendali.

Tipologia di credenziali rubate


Il credential stealer è progettato per aspirare qualsiasi segreto accessibile nell’ambiente dello sviluppatore o del pipeline CI/CD:

  • Token GitHub e npm — accesso ai repository e alle pipeline di deploy
  • GitHub Actions secrets — credenziali iniettate nei workflow di CI/CD
  • Chiavi SSH — accesso diretto a server e infrastruttura
  • Credenziali cloud: AWS (access key + secret), Azure (service principal), Google Cloud Platform (service account JSON), Kubernetes (kubeconfig)
  • Segreti CI/CD in memoria — variabili d’ambiente caricate nei processi attivi al momento dell’esecuzione


Attribuzione a TeamPCP: la chiave RSA come firma digitale


Wiz attribuisce l’operazione a TeamPCP con alta confidenza. L’elemento chiave è la riutilizzazione della stessa chiave RSA pubblica per cifrare i dati esfiltrati — la medesima chiave impiegata in precedenti compromissioni di librerie attribuite allo stesso gruppo. È un errore operativo significativo da parte degli attaccanti: la chiave di cifratura diventa di fatto una firma identificativa che collega tutte le campagne dello stesso operatore.

TeamPCP non è un nuovo arrivato nel panorama degli attacchi alla supply chain npm. Il gruppo ha già condotto operazioni simili contro altre librerie, dimostrando un interesse sistematico per l’ecosistema JavaScript enterprise e un pattern operativo consolidato: compromissione di pacchetti legittimi e ad alta fiducia, payload multistadio con downloader, esfiltrazione tramite servizi cloud legittimi.

Il pattern più ampio: tre supply chain attack in 48 ore


L’attacco ai pacchetti SAP non è avvenuto in isolamento. GitGuardian ha documentato come nelle stesse 48 ore abbiano colpito campagne analoghe su npm (il pacchetto tanstack contraffatto che esfiltrava file .env), PyPI e Docker Hub — suggerendo un’intensificazione coordinata delle operazioni di supply chain attack verso l’ecosistema di sviluppo software nel suo complesso. Questo tipo di attività “a grappolo” potrebbe indicare un mercato underground più attivo, o una risposta a opportunità specifiche emerse nell’ecosistema open source.

Indicatori di Compromissione (IoC)

# Pacchetti SAP npm compromessi (versioni malevole - 29 aprile 2026)
# Pubblicati tra 09:55 UTC e 12:14 UTC

# Indicatori infrastrutturali:
# - Loader: setup.mjs (scarica Bun runtime da GitHub)
# - Payload: execution.js (offuscato, eseguito via Bun)
# - Chiave RSA pubblica condivisa con altre campagne TeamPCP

# Pattern di esfiltrazione:
# - Dati caricati su repository GitHub pubblici della vittima
# - Descrizione repository: "A Mini Shai-Hulud has Appeared"
# - Dati cifrati con RSA prima dell'upload

# File target:
.env
.env.local
.env.production
~/.ssh/id_rsa
~/.aws/credentials
~/.kube/config

# Riferimenti:
# Socket: https://socket.dev/blog/sap-cap-npm-packages-supply-chain-attack
# Wiz: https://www.wiz.io/blog/mini-shai-hulud-supply-chain-sap-npm
# BleepingComputer: https://www.bleepingcomputer.com/news/security/official-sap-npm-packages-compromised-to-steal-credentials/

Raccomandazioni immediate per i difensori


Chi utilizza pacchetti SAP CAP o Cloud MTA nel proprio ambiente di sviluppo deve agire immediatamente su più fronti. Il primo passo è verificare le versioni installate nei propri progetti e disinstallare qualsiasi versione pubblicata il 29 aprile 2026: eseguire npm audit e confrontare le versioni con il changelog ufficiale SAP. In secondo luogo, è necessario trattare tutte le credenziali presenti negli ambienti di sviluppo e CI/CD come potenzialmente compromesse: ruotare token GitHub, chiavi AWS/Azure/GCP, credenziali npm e kubeconfig.

A livello organizzativo, questo attacco riporta all’attenzione la necessità di implementare policy di Software Composition Analysis (SCA) nei pipeline CI/CD, con blocco automatico di pacchetti che eseguono script preinstall o scaricano binary da sorgenti esterne. L’adozione di soluzioni come Socket, Wiz o Snyk per il monitoraggio in real-time delle dipendenze npm rappresenta oggi una misura non più opzionale per chi gestisce ambienti enterprise basati su Node.js.

Fonti: Socket Research Team, Wiz Security Blog, BleepingComputer, GitGuardian Blog — 29-30 aprile 2026.

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Xiaomi 17T e 17T Pro: specifiche complete e prezzi leaked, rincaro di circa 100 euro


I prossimi Xiaomi 17T e 17T Pro si mostrano in un leak completo che svela specifiche tecniche e prezzi europei. La notizia più discussa è l'aumento di prezzo rispetto ai modelli precedenti: circa 100 euro in più per entrambe le versioni. Il lancio potrebbe avvenire già a maggio 2026, con largo anticipo rispetto alla tabella di marcia degli anni precedenti. Xiaomi 17T: display più compatto e batteria da 6.500 mAh Il modello base 17T passerà a un display AMOLED da 6,59 pollici con […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

I prossimi Xiaomi 17T e 17T Pro si mostrano in un leak completo che svela specifiche tecniche e prezzi europei. La notizia più discussa è l’aumento di prezzo rispetto ai modelli precedenti: circa 100 euro in più per entrambe le versioni. Il lancio potrebbe avvenire già a maggio 2026, con largo anticipo rispetto alla tabella di marcia degli anni precedenti.

Xiaomi 17T: display più compatto e batteria da 6.500 mAh


Il modello base 17T passerà a un display AMOLED da 6,59 pollici con refresh rate a 120Hz, leggermente più compatto rispetto al 15T che misurava 6,83 pollici. Il processore sarà il MediaTek Dimensity 8500 Ultra abbinato a 12 GB di RAM LPDDR5X e storage UFS 4.1 fino a 512 GB. La batteria sale a 6.500 mAh con ricarica da 67W. Le fotocamere includono un sensore principale da 50MP, un teleobiettivo 5x da 50MP e un grandangolo da 12MP. Il software sarà Android 16 con HyperOS 3.

Xiaomi 17T Pro: Dimensity 9500 e batteria da 7.000 mAh


Il modello Pro alza notevolmente l’asticella: display AMOLED da 6,83 pollici con refresh a 144Hz, chip Dimensity 9500 di punta, batteria da 7.000 mAh con ricarica cablata da 100W e wireless da 50W. Il comparto fotografico include il sensore principale Light Fusion 950 da 50MP, teleobiettivo 5x da 50MP e grandangolo da 12MP. Anche qui Android 16 e HyperOS 3.

I prezzi europei: il rincaro è reale


Sul fronte dei prezzi, il leak indica per il mercato europeo:

  • Xiaomi 17T (12GB/256GB): 749 euro
  • Xiaomi 17T (512GB): circa 799-849 euro
  • Xiaomi 17T Pro (12GB/512GB): 999 euro

Rispetto al 15T, si parla di un aumento di circa 100 euro su entrambe le versioni. Un incremento non trascurabile, probabilmente dovuto all’aumento dei costi dei componenti. Il lancio anticipato a maggio 2026 potrebbe però compensare la spesa per chi vuole il meglio dell’offerta mid-to-high Xiaomi il prima possibile.

Dario Fadda reshared this.