Spcnet.it

2026-04-27 11:00:43

LangChain.js per sviluppatori JavaScript: corso gratuito per costruire agenti AI

Volete costruire agenti AI con JavaScript che vadano oltre le semplici chat? Agenti che ragionano, chiamano strumenti esterni e interrogano knowledge base in modo autonomo? Microsoft ha pubblicato un corso gratuito e open source per fare esattamente questo: LangChain.js for Beginners, 8 capitoli con oltre 70 esempi TypeScript eseguibili.

Se già conoscete Node.js, npm, TypeScript e async/await, non avete bisogno di passare a Python per sviluppare applicazioni AI. LangChain.js vi mette a disposizione i componenti necessari — chat model, tool, agenti, retrieval e molto altro — senza dover cablare tutto da zero.

Perché LangChain.js?

LangChain.js è come avere un negozio di ferramenta completamente fornito a portata di mano. Invece di fabbricare ogni strumento dal metallo grezzo, prendete quello che serve dallo scaffale e iniziate a costruire. La libreria astrae l’integrazione con vari LLM (OpenAI, Azure OpenAI, Anthropic e altri), standardizza l’interfaccia per tool e agenti, e fornisce primitive per la costruzione di pipeline RAG.

Il vantaggio rispetto a Python? Zero friction per chi già lavora nell’ecosistema JavaScript/TypeScript. Stessi strumenti di build, stesso toolchain CI/CD, stessa base di codice.

Struttura del corso: un approccio agent-first

La maggior parte dei tutorial su LangChain inizia con document loader ed embedding. Questo corso arriva agli agenti e ai tool presto, perché è lì che si trovano i sistemi AI in produzione. Gli agenti decidono cosa fare, quando usare strumenti, e se hanno bisogno di cercare dati.

Capitoli 1-3: fondamenta

La prima chiamata a un LLM, chat model, streaming, prompt template e output strutturati con schemi Zod. Contenuto classico, ma necessario prima che le cose si facciano interessanti.

Capitolo 4: Function Calling e Tool

Qui l’AI smette di parlare e inizia a fare. Si insegna al modello a chiamare funzioni personalizzate, e lui ragiona su quando usarle. Esempio pratico:

import { ChatOpenAI } from "@langchain/openai";
import { tool } from "@langchain/core/tools";
import { z } from "zod";

const weatherTool = tool(
  async ({ city }) => {
    // chiamata a una API meteo reale
    return `Il meteo a ${city} è soleggiato, 22°C`;
  },
  {
    name: "get_weather",
    description: "Ottieni le condizioni meteo correnti per una città",
    schema: z.object({
      city: z.string().describe("Il nome della città"),
    }),
  }
);

const model = new ChatOpenAI({ model: "gpt-4o" });
const modelWithTools = model.bindTools([weatherTool]);

const result = await modelWithTools.invoke(
  "Che tempo fa a Milano?"
);
console.log(result.tool_calls);

Capitolo 5: Agenti con pattern ReAct

Un LLM risponde a domande. Un agente ragiona attraverso i problemi, sceglie i tool giusti ed esegue piani multi-step. Il capitolo 5 mostra come costruire agenti con il pattern ReAct (Reason + Act): il modello alterna tra pensiero esplicito e azioni concrete fino a raggiungere la risposta finale.

import { createReactAgent } from "@langchain/langgraph/prebuilt";
import { ChatOpenAI } from "@langchain/openai";

const agent = createReactAgent({
  llm: new ChatOpenAI({ model: "gpt-4o" }),
  tools: [weatherTool, searchTool, calculatorTool],
});

const response = await agent.invoke({
  messages: [{ role: "user", content: "Pianifica un itinerario a Roma per domani" }],
});
console.log(response.messages.at(-1)?.content);

Capitolo 6: MCP — Model Context Protocol

Il Model Context Protocol sta diventando lo standard per connettere l’AI a servizi esterni. Il capitolo guida alla costruzione di server MCP e al collegamento degli agenti tramite trasporti HTTP e stdio. È un’abilità sempre più richiesta man mano che l’ecosistema AI aziendale matura.

Capitoli 7 e 8: RAG agentivo

I capitoli finali portano documenti, embedding e ricerca semantica, poi combinano tutto in Agentic RAG. L’agente decide quando cercare nella knowledge base e quando rispondere direttamente da ciò che già conosce.

È una distinzione importante. Il RAG tradizionale è come lo studente che sfoglia il libro di testo per ogni domanda, anche “Quanto fa 2+2?”. Il RAG agentivo è lo studente intelligente che risponde alle domande semplici a memoria e apre il libro solo quando ne ha davvero bisogno. Il risultato: risposte più veloci, costi inferiori (meno ricerche di embedding non necessarie) e un’esperienza complessivamente migliore.

Come iniziare

Il corso è open source su GitHub. Per iniziare bastano tre comandi:

# Clona il repository
git clone https://github.com/microsoft/generative-ai-with-javascript

# Installa le dipendenze
cd generative-ai-with-javascript/lessons/08-langchain/
npm install

# Configura la chiave API
cp .env.example .env
# Aggiungi AZURE_OPENAI_API_KEY o OPENAI_API_KEY nel file .env

# Esegui il primo esempio
npx ts-node chapter1/01-first-llm-call.ts

Ogni capitolo include spiegazioni concettuali con analogie concrete, esempi di codice eseguibili immediatamente, sfide pratiche per testare la comprensione e punti chiave per consolidare l’apprendimento.

A chi è rivolto

Il corso si rivolge a sviluppatori JavaScript/TypeScript che conoscono npm install e async/await. Non è richiesta esperienza precedente in AI o machine learning. Ogni capitolo inizia con un’analogia del mondo reale per ancorare il concetto prima di qualsiasi codice.

Per chi già lavora su applicazioni .NET o backend e vuole esplorare il lato AI senza cambiare linguaggio, questo corso rappresenta il punto di ingresso ideale: nessun boilerplate Python, nessun ambiente virtuale da gestire, solo TypeScript e strumenti già familiari.

Considerazioni finali

LangChain.js ha raggiunto una maturità che lo rende adatto a progetti di produzione. Il corso di Microsoft colma un gap reale: la maggior parte della documentazione e dei tutorial sull’AI generativa è orientata a Python. Avere un percorso strutturato, gratuito e orientato agli agenti per l’ecosistema JavaScript è un vantaggio concreto per chi già lavora in questo stack.

Se state valutando come integrare capacità AI nelle vostre applicazioni Node.js o Deno, o se volete costruire un copilota interno per il vostro team, questo è il punto di partenza più pragmatico disponibile oggi.

---

Fonte originale: LangChain.js for Beginners: A Free Course to Build Agentic AI Apps with JavaScript — Microsoft for Developers

LangChain.js for Beginners: A Free Course to Build Agentic AI Apps with JavaScript - Microsoft for Developers

Want to build AI agents with JavaScript that go beyond basic chat completions? Agents that reason, call tools, and pull from knowledge bases on their own?

^{Yohan Lasorsa (Microsoft for Developers)}

(in)sicurezza digitale

2026-04-27 10:59:28

UNC6692 usa Microsoft Teams per distribuire SNOW: email bombing, impersonazione helpdesk e compromissione del dominio Active Directory

Si parla di:
Toggle

Non serve uno zero-day quando si puo’ semplicemente telefonare. O meglio: mandare un messaggio su Microsoft Teams fingendo di essere il supporto IT aziendale. E’ questa la filosofia operativa di UNC6692, un gruppo di minaccia documentato da Google Threat Intelligence Group (GTIG) e Mandiant il 22 aprile 2026, che ha sviluppato una delle catene di intrusione piu’ efficaci osservate di recente: zero vulnerabilita’ software sfruttate, impatto devastante.

La catena di attacco: dalla casella di posta al dominio compromesso

La campagna di UNC6692 si articola in piu’ fasi con una logica narrativa precisa, progettata per sfruttare i processi cognitivi delle vittime anziche’ le vulnerabilita’ del software. Tutto inizia tra fine dicembre 2025 e i mesi successivi con un’operazione di email bombing: le vittime — prevalentemente dipendenti senior (77% dei casi rilevati) — si trovano improvvisamente sommerse da migliaia di email spam, un’inondazione che paralizza l’attivita’ lavorativa e genera panico.

Nel momento di massima confusione, arriva il soccorso: un messaggio su Microsoft Teams da un account che si presenta come tecnico del supporto IT interno. L’attaccante offre assistenza per il problema email e guida la vittima attraverso una sequenza di azioni apparentemente legittime. Il punto critico e’ il click su un link che porta a una pagina di phishing ospitata su un bucket Amazon S3 — presentata come “Mailbox Repair and Sync Utility v2.1.5”. L’URL su S3 non e’ in lista di blocco di quasi nessun proxy aziendale, e il dominio amazonaws.com gode di alta reputazione nei sistemi di URL filtering.

La suite SNOW: tre strumenti, un’unica operazione

Il download dalla pagina di phishing avvia l’esecuzione di un binario AutoHotKey (RegSrvc.exe) che funge da dropper per l’ecosistema SNOW, una suite malware modulare composta da tre componenti distinti, ciascuno con un ruolo specializzato nella catena di compromissione.

SNOWBELT e’ un backdoor basato su JavaScript, distribuito come estensione Chromium (directory: SysEvents). Viene installato in modalita’ non-supervised attraverso policy forzate, non tramite il Chrome Web Store. Si maschera sotto nomi come “MS Heartbeat” o “System Heartbeat”. Una volta attivo nel browser della vittima, intercetta sessioni autenticate, cookie, token OAuth e qualsiasi credenziale inserita nelle form web. Comunica con il C2 tramite richieste verso bucket S3 in us-east-2, usando un VAPID key fisso come identificatore.

SNOWGLAZE e’ un tunneler Python compatibile con Windows e Linux. La sua funzione primaria e’ creare un tunnel WebSocket autenticato tra il sistema della vittima e l’infrastruttura C2 dell’attaccante, tipicamente un sottodominio Heroku. Questo tunnel permette all’attaccante di instradare traffico RDP, PsExec e altri protocolli attraverso una connessione apparentemente legittima verso Heroku, eludendo i controlli firewall.

SNOWBASIN e’ il backdoor persistente per il controllo remoto completo: esecuzione di comandi via cmd.exe o PowerShell, cattura di screenshot, upload/download di file e auto-terminazione. E’ SNOWBASIN che gestisce la fase di post-exploitation, una volta che il foothold iniziale e’ stabilito.

Post-exploitation: dal PC della vittima al domain controller

L’analisi di Mandiant descrive una sequenza di post-exploitation metodica e aggressiva. Dopo l’installazione della suite SNOW, l’attaccante utilizza SNOWGLAZE per stabilire una sessione PsExec verso il sistema compromesso, poi avvia una scansione della rete locale alla ricerca di sistemi raggiungibili su porte 135 (RPC), 445 (SMB) e 3389 (RDP). Una volta identificato un server di backup, SNOWGLAZE viene usato per instradare una sessione RDP verso di esso.

Sul server di backup avviene la fase critica: l’attaccante usa Windows Task Manager per eseguire il dump del processo LSASS (Local Security Authority Subsystem Service), catturando in chiaro tutti gli hash delle password degli account autenticati sul sistema, inclusi account privilegiati con accesso al dominio Active Directory. Il file di dump viene esfiltrato via LimeWire attraverso il tunnel SNOWGLAZE. Con gli hash estratti, e’ possibile effettuare attacchi pass-the-hash per autenticarsi come qualsiasi account del dominio, portando alla compromissione completa dell’infrastruttura AD.

Indicatori di compromissione (IoC)

# URL phishing (pattern)
https://service-page-[ID]-outlook.s3.us-west-2.amazonaws.com/update.html?email=

# C2 SNOWGLAZE (WebSocket)
wss://sad4w7h913-b4a57f9c36eb[.]herokuapp[.]com:443/ws

# C2 SNOWBELT (pattern URL S3)
https://[a-f0-9]{24}-[0-9]{6,7}-[0-9]{1}.s3.us-east-2.amazonaws[.]com

# SNOWBELT VAPID Key
BJkWCT45mL0uvV3AssRaq9Gn7iE2N7Lx38ZmWDFCjwhz0zv0QSVhKuZBLTTgAijB12cgzMzqyiJZr5tokRzSJu0

# File sospetti (dropper)
RegSrvc.exe    # binario AutoHotKey rinominato
Protected.ahk  # script AHK malevolo

# Directory estensione Chrome malevola
SysEvents/  # in %LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions

# Hash SHA256
SNOWGLAZE: 2fa987b9ed6ec6d09c7451abd994249dfaba1c5a7da1c22b8407c461e62f7e49
SNOWBELT background.js: 7f1d71e1e079f3244a69205588d504ed830d4c473747bb1b5c520634cc5a2477

Attribuzione e contesto

UNC6692 e’ classificato da Google/Mandiant come UNC (Uncategorized): non e’ ancora stata stabilita un’attribuzione definitiva a un paese o gruppo noto. Il profilo operativo mostra tuttavia caratteristiche interessanti: capacita’ di sviluppo malware custom elevate, pazienza tattica (la campagna di email bombing precede l’attacco di settimane) e una chiara preferenza per obiettivi aziendali con accesso privilegiato a infrastrutture IT. L’assenza di exploit zero-day puo’ indicare sia un operatore esperto che preferisce metodi OPSEC-sicuri, sia un gruppo finanziariamente motivato che ha ottimizzato il rapporto costo/impatto delle proprie operazioni.

Consigli per i difensori

La campagna UNC6692 mette in evidenza lacune difensive comuni negli ambienti enterprise. Sul fronte delle policy Microsoft Teams, e’ fondamentale limitare la possibilita’ per utenti esterni di contattare dipendenti interni tramite Teams: configurare una allowlist dei tenant esterni autorizzati e’ il primo passo. Sul fronte della protezione da email bombing, implementare rate limiting e filtri anti-spam aggressivi con alert su aumenti anomali di volume per singolo account. Per la protezione del browser, deployare policy Group Policy che blocchino l’installazione di estensioni Chrome non approvate e monitorare la creazione di nuove directory in %LOCALAPPDATA%. Monitorare il traffico verso sottodomini Heroku e bucket S3 non registrati come legittimi nel proprio inventario cloud. Infine, proteggere LSASS con Credential Guard su tutti i sistemi Windows 10/11 e Server 2019+: questa misura da sola avrebbe bloccato la fase piu’ critica dell’attacco documentato.

La campagna UNC6692/SNOW e’ un esempio paradigmatico di come il perimetro piu’ difficile da difendere non sia tecnico, ma umano: un dipendente stressato da un’inondazione di spam e “soccorso” da un collega del supporto IT e’ una vittima quasi inevitabile, indipendentemente dalla sofisticazione dell’infrastruttura di sicurezza aziendale.

Spcnet.it

2026-04-26 18:13:43

State Pattern in C#: guida decisionale con esempi pratici

Gli oggetti cambiano comportamento in base al loro stato interno continuamente. Un documento passa da bozza a revisione a pubblicato. Un personaggio di un gioco alterna tra inattivo, in corsa e in attacco. Un pagamento transita da pending ad autorizzato a catturato. La domanda quando usare lo State Pattern in C# emerge nel momento in cui la logica condizionale inizia a ramificarsi sullo stesso campo stato in metodo dopo metodo — e ogni nuovo stato obbliga a toccare più file.

In questo articolo troverete una guida decisionale pratica per il pattern State in C#: quando merita davvero il suo posto e quando soluzioni più semplici — enum o flag booleani — bastano e avanzano.

Cos’è lo State Pattern e cosa fa davvero

Lo State Pattern consente a un oggetto di cambiare il proprio comportamento quando il suo stato interno cambia. Dall’esterno sembra che l’oggetto abbia cambiato classe. Invece di sparpagliare istruzioni if e switch in ogni metodo che dipende dallo stato corrente, si incapsula il comportamento di ciascuno stato in una propria classe. L’oggetto delega al state object attivo in quel momento.

La struttura coinvolge tre ruoli:

• Context — mantiene un riferimento allo state object corrente e vi delega il comportamento
• State interface — dichiara i metodi che ogni stato deve implementare
• Concrete state classes — implementano l’interfaccia con il comportamento specifico del loro stato

Quando avviene una transizione, il context sostituisce il riferimento al proprio state object. Questo approccio elimina i blocchi condizionali che crescono ogni volta che si aggiunge uno stato nuovo.

Segnali che indicano che avete bisogno dello State Pattern

Non ogni oggetto con un campo status ha bisogno dello State Pattern. Tuttavia certi code smell sono segnali forti che il pattern ripulirà il design.

La logica condizionale si ramifica sullo stesso stato ovunque

Questo è il trigger principale. Quando vedete lo stesso switch o if-else che controlla _status in tre, quattro o dieci metodi diversi, il vostro oggetto sta gestendo le transizioni di stato nel modo più difficile. Ogni nuovo stato significa toccare ciascuno di quei metodi.

Avete regole di transizione complesse

Se le transizioni valide dipendono dallo stato attuale — e alcune azioni devono lanciare eccezioni o essere semplicemente ignorate a seconda di dove ci si trova — il pattern State rende queste regole esplicite invece di affogarle in condizionali.

Ogni stato ha un comportamento distinto

Quando lo stato influenza come si comporta un metodo, non soltanto se eseguirlo, il pattern vale l’investimento. Ciascuna classe stato diventa un luogo coeso che racchiude tutto il comportamento per quella condizione.

Scenario 1: gestione degli ordini (comportamento condizionale complesso)

Ecco un esempio di elaborazione ordini con lo State Pattern:

public interface IOrderState
{
    void Submit(OrderContext context);
    void Cancel(OrderContext context);
    void Ship(OrderContext context);
    void Deliver(OrderContext context);
}

public sealed class OrderContext
{
    public IOrderState CurrentState { get; private set; }
    public string OrderId { get; }

    public OrderContext(string orderId)
    {
        OrderId = orderId;
        CurrentState = new PendingState();
    }

    public void TransitionTo(IOrderState state)
    {
        Console.WriteLine(
            $"Order {OrderId}: " +
            $"{CurrentState.GetType().Name} -> " +
            $"{state.GetType().Name}");
        CurrentState = state;
    }

    public void Submit() => CurrentState.Submit(this);
    public void Cancel() => CurrentState.Cancel(this);
    public void Ship()   => CurrentState.Ship(this);
    public void Deliver() => CurrentState.Deliver(this);
}

public sealed class PendingState : IOrderState
{
    public void Submit(OrderContext context)
    {
        Console.WriteLine("Ordine inviato per elaborazione.");
        context.TransitionTo(new ProcessingState());
    }

    public void Cancel(OrderContext context)
    {
        Console.WriteLine("Ordine annullato prima dell'invio.");
        context.TransitionTo(new CancelledState());
    }

    public void Ship(OrderContext context) =>
        throw new InvalidOperationException("Impossibile spedire un ordine in attesa.");

    public void Deliver(OrderContext context) =>
        throw new InvalidOperationException("Impossibile consegnare un ordine in attesa.");
}

Notate come PendingState sappia esattamente cosa fare (o non fare) per ogni azione. Non c’è nessuno switch nello stato: il polimorfismo gestisce tutto.

Scenario 2: workflow e gestione dei processi

Un caso d’uso classico è la gestione di una domanda con audit trail integrato:

public interface IApplicationState
{
    string StatusName { get; }
    void Review(ApplicationContext context);
    void Approve(ApplicationContext context);
    void Reject(ApplicationContext context);
    void RequestInfo(ApplicationContext context);
}

public sealed class ApplicationContext
{
    public IApplicationState CurrentState { get; private set; }
    public string ApplicantName { get; }
    public List<string> AuditLog { get; } = new();

    public ApplicationContext(string applicantName)
    {
        ApplicantName = applicantName;
        CurrentState = new SubmittedState();
        Log("Domanda inviata");
    }

    public void TransitionTo(IApplicationState state)
    {
        Log($"Transizione a {state.StatusName}");
        CurrentState = state;
    }

    public void Log(string message) =>
        AuditLog.Add($"[{DateTime.UtcNow:u}] {message}");
}

L’audit trail viene aggiornato automaticamente a ogni transizione, senza duplicazione di codice nei metodi chiamanti.

Scenario 3: gestione dello stato di un personaggio in un gioco

I giochi sono un esempio naturale: un personaggio che alterna tra IdleState, RunningState, AttackingState e DyingState beneficia enormemente di questo pattern, poiché ciascuno stato ha logica di input e di update completamente diversa.

Quando NON usare lo State Pattern

Il pattern non è sempre la risposta giusta. Evitate di applicarlo nei seguenti casi:

• Stati booleani semplici: se l’oggetto ha solo attivo e inattivo, un campo booleano è più chiaro e diretto.
• Pochi stati senza transizioni significative: se avete due o tre stati con poco comportamento differenziato, gli enum bastano.
• La logica di transizione è esterna all’oggetto: se le decisioni di cambio stato appartengono a un orchestratore esterno, il pattern State aggiunge complessità senza benefici.

State Pattern vs alternative: quando scegliere cosa

Un enum con un switch è la scelta giusta quando gli stati sono pochi, stabili e il comportamento differisce solo su una o due dimensioni. Appena gli stati crescono, il comportamento diverge significativamente per metodo, o le transizioni diventano complesse, è il momento di passare al pattern State.

Il pattern State non è la stessa cosa del pattern Strategy: Strategy cambia l’algoritmo usato per una singola operazione, mentre State cambia il comportamento complessivo dell’oggetto al variare della condizione interna. Possono tuttavia lavorare insieme: una transizione di stato può emettere eventi che degli Observer gestiscono.

Integrazione con Dependency Injection

Una domanda comune è se il pattern State si integri bene con la DI di ASP.NET Core. La risposta è sì, con qualche accorgimento: le classi stato concrete possono essere registrate nel contenitore DI, ma è consigliabile usare factory o ActivatorUtilities.CreateInstance per creare le istanze in modo da evitare cicli nel contenitore.

Conclusione

Lo State Pattern in C# risolve un problema preciso: oggetti il cui comportamento cambia radicalmente al variare dello stato interno, con transizioni complesse e comportamento specifico per stato. Prima di applicarlo, fate questa verifica rapida: contate quante volte controllate lo stesso campo di stato in metodi diversi. Se la risposta supera tre o quattro, probabilmente il pattern vi risparmierà mesi di manutenzione futura.

La regola d’oro rimane: preferite sempre la soluzione più semplice che risolve il problema. Un enum con uno switch è più leggibile di una gerarchia di classi per casi banali. Ma quando la complessità cresce, lo State Pattern offre un’architettura che scala senza sforzo.

---

Fonte originale: When to Use State Pattern in C#: Decision Guide with Examples — Dev Leader

When to Use State Pattern in C#: Decision Guide with Examples

Discover when to use state pattern in C# with real decision criteria, use case examples, and guidance on when simpler alternatives work better.

^{Nick Cosentino (Dev Leader)}

(in)sicurezza digitale

2026-04-26 18:11:56

GlassWorm muta ancora: 73 estensioni “sleeper” su Open VSX pronte a svegliarsi come malware

Una campagna di supply chain attack di nuova generazione non aspetta di essere scoperta: prima si mimetizza, poi colpisce. È questa la logica dietro GlassWorm, un attore malevolo che ha trasformato il marketplace Open VSX in un campo minato di estensioni apparentemente legittime, pronte ad attivarsi dopo settimane di apparente innocenza.

La nuova ondata: 73 estensioni sleeper identificate

Il 25 aprile 2026, i ricercatori di Socket hanno pubblicato un’analisi approfondita rilevando 73 nuove estensioni per Open VSX — il registry alternativo a Visual Studio Marketplace, utilizzato principalmente dagli sviluppatori di VSCodium e Eclipse Theia — che mostrano caratteristiche riconducibili alla campagna GlassWorm. Almeno sei di queste estensioni si sono già “svegliate”, aggiornandosi per distribuire payload malevoli, mentre le restanti rimangono classificate come sleeper ad alta confidenza in attesa di attivazione.

Il meccanismo è elegante nella sua perversità: le estensioni vengono pubblicate con codice pulito, superano i controlli automatici del marketplace, accumulano installazioni e fiducia degli utenti — poi, attraverso un aggiornamento silenzioso o aggiungendo una dipendenza malevola, si trasformano in vettori di malware. Nessun exploit, nessun CVE: pura abuso della fiducia nella supply chain del software.

Evoluzione di una campagna persistente

GlassWorm non è un attore nuovo. La campagna è attiva almeno dal tardo 2024, con escalation progressive che si sono succedute nel corso del 2025-2026. A dicembre 2025 furono rilevate le prime 24 estensioni impersonatrici; a febbraio 2026 si scoprì che un account sviluppatore compromesso era stato usato per propagare il malware; a marzo 2026 la campagna scalò a 72 estensioni attive su Open VSX con diffusione tramite abuso di dipendenze. L’ondata di aprile 2026 rappresenta dunque l’evoluzione più sofisticata finora osservata.

Gli obiettivi rimangono costanti: furto di segreti di sviluppo (API key, token, credenziali), svuotamento di wallet di criptovalute, e trasformazione dei sistemi infetti in proxy per ulteriori attività criminali. Il target primario sono sviluppatori che lavorano su macOS, Linux e Windows con ambienti basati su VS Code o suoi fork.

Tecniche di attacco: la profondità della sleeper strategy

L’analisi di Socket rivela una serie di pattern tecnici ricorrenti nell’attuale cluster di 73 estensioni. I publisher sono account GitHub neonati, con una o due repository pubbliche: una repository vuota con nome composto da otto caratteri casuali e una contenente il codice dell’estensione. Questo pattern serve a superare le verifiche di identità del marketplace, che richiedono un profilo GitHub associato.

Le estensioni impersonano utility popolari — ad esempio il language pack turco per VS Code — usando la stessa icona, un nome simile e contenuti copiati dal pacchetto legittimo. Una volta guadagnata la fiducia degli utenti, la delivery del malware avviene in due modalità principali: aggiornamento diretto dell’estensione per includere codice offuscato, oppure aggiunta di una dipendenza da un’estensione separata che contiene il loader GlassWorm, sfruttando il fatto che l’installazione di un’estensione può portare all’installazione automatica di tutte le sue dipendenze dichiarate.

I payload attivati al momento includono: VSIX malevoli ospitati su GitHub, binari nativi firmati con certificati rubati, JavaScript offuscato con tecniche di code splitting per sfuggire all’analisi statica. Il loader GlassWorm, una volta eseguito nell’ambiente VS Code, ha accesso allo stesso filesystem, alle variabili d’ambiente e ai token di sessione dell’IDE — un privilegio enorme che permette di esfiltrare le credenziali di ogni servizio cloud configurato nello strumento di sviluppo.

Contesto più ampio: l’ecosistema VS Code come vettore sistemico

GlassWorm rappresenta un sintomo di una vulnerabilità strutturale: gli ecosistemi di estensioni per editor di codice sono intrinsecamente difficili da proteggere. A differenza dei package manager come npm o PyPI, dove esiste una cultura più consolidata di analisi della sicurezza, i marketplace di estensioni IDE tendono ad avere meccanismi di revisione più leggeri e una percezione del rischio più bassa da parte degli utenti. Un desarrollatore che installa un’estensione VS Code raramente si chiede se stia introducendo un RAT nella propria workstation.

La tecnica della sleeper extension è particolarmente insidiosa perché richiede pazienza da parte dell’attaccante — una caratteristica tipica di campagne sponsorizzate da attori con risorse significative. Non è ancora stata stabilita un’attribuzione definitiva per GlassWorm, ma il livello di sofisticazione e persistenza suggerisce un gruppo criminale strutturato o un attore nation-state interessato alla compromissione di pipeline di sviluppo software.

Indicatori di compromissione (IoC)

# Pattern publisher malevoli (account GitHub)
- Account con repository vuota a nome di 8 caratteri esadecimali
- Account creati tra gennaio e aprile 2026 senza storia pubblica

# Pattern nomi estensioni sospette (esempi noti)
- Estensioni che impersonano language pack (es. Turkish Language Pack for VSCode)
- Estensioni con nomi che differiscono di un carattere da quelle legittime

# Comportamenti runtime sospetti
- Lettura di variabili d'ambiente (PATH, HOME, credenziali cloud)
- Connessioni in uscita verso bucket S3 su us-east-2 o us-west-2
- Caricamento dinamico di script da URL GitHub Raw

# Repository di tracking
https://socket.dev/glassworm-v2  (lista aggiornata estensioni maligne)

Consigli per i difensori

Per chi gestisce ambienti di sviluppo, alcune misure concrete. Prima di tutto, applicare policy di allowlist per le estensioni VS Code/VSCodium approvate, impedendo l’installazione di estensioni non verificate dall’organizzazione. Monitorare con strumenti come Socket o Phylum le dipendenze dei progetti, incluse quelle delle estensioni IDE. Configurare il traffico di rete delle workstation degli sviluppatori per rilevare connessioni anomale verso S3 bucket sconosciuti o hostname Heroku. Abilitare la telemetria degli IDE aziendali e integrarla nel SIEM per rilevare accessi insoliti al keychain o alle variabili d’ambiente. Infine, considerare l’adozione di ambienti di sviluppo containerizzati o in sandbox, dove l’impatto di un’estensione compromessa è limitato al container.

Socket mantiene una pagina dedicata al tracking di GlassWorm v2 con l’elenco aggiornato delle estensioni malevole identificate: consultarla periodicamente è una misura di igiene minima per chi usa Open VSX. La campagna è ancora attiva e il numero di sleeper non ancora attivati — stimato in oltre 60 — suggerisce che il peggio non sia ancora avvenuto.

Spcnet.it

2026-04-26 10:08:16

Classificazione documenti in C# senza AI: approccio deterministico, spiegabile e pronto per la produzione

Classificare automaticamente i documenti aziendali è uno di quei problemi che, a prima vista, sembra un caso d’uso ideale per i modelli AI. Ma in ambienti di produzione, la stabilità, la tracciabilità e la prevedibilità del comportamento spesso contano più della flessibilità. In questo articolo vediamo come implementare un classificatore di documenti rule-based, ponderato e completamente spiegabile in C# .NET, senza toccare un singolo modello di machine learning.

Perché non partire dall’AI?

I modelli AI per la classificazione di testo sono potenti, ma introducono una serie di criticità in contesti enterprise:

• Non-determinismo: lo stesso documento può ricevere classificazioni diverse a seconda della versione del modello, del wording del prompt o di aggiornamenti interni del provider.
• Opacità: spiegare a un responsabile compliance perché il modello ha classificato un contratto come “fattura” è praticamente impossibile.
• Dipendenza da pipeline di dati: aggiornare il classificatore richiede raccolta di dati, rietichettatura, riaddestramento e deployment.

Un approccio deterministico e rule-based risolve tutti e tre i problemi: stesso input, stesso output, sempre. Ogni decisione è tracciabile e modificabile senza toccare il codice, solo aggiornando un file di configurazione JSON.

Architettura del classificatore

Il sistema segue una pipeline chiara:

1. Caricamento dei profili di classificazione da file JSON
2. Apertura del documento .docx con TX Text Control
3. Estrazione del testo da corpo, intestazioni e piè di pagina
4. Rilevamento delle regioni strutturali (titolo, heading, corpo, header, footer)
5. Matching delle regole per categoria con strategie configurabili
6. Calcolo degli score ponderati per categoria
7. Restituzione della categoria vincente con confidence score e spiegazione dettagliata

L’elemento chiave è che tutta la logica di classificazione vive nel file JSON, non nel codice. Questo significa che un domain expert (non un developer) può modificare e migliorare il classificatore semplicemente editando la configurazione.

Il file di configurazione

Ogni categoria è descritta da un insieme di regole. Ogni regola specifica:

• term: il termine o la frase da cercare
• weight: il peso del contributo di questa regola allo score
• matchMode: la strategia di matching (Phrase, WholeWord, Contains)
• strength: la forza del segnale (Strong, Weak)

Esempio per la categoria “Resume”:

{
  "name": "Resume",
  "rules": [
    {
      "term": "work experience",
      "weight": 3.0,
      "matchMode": "Phrase",
      "strength": "Strong"
    },
    {
      "term": "email",
      "weight": 1.0,
      "matchMode": "WholeWord",
      "strength": "Weak"
    }
  ]
}

La distinzione tra segnali forti e deboli è cruciale. “Work experience” in un documento è un indicatore molto specifico di un CV, mentre “email” può apparire praticamente ovunque e deve pesare di meno. Questa granularità evita i falsi positivi che affliggono i classifier naïve basati su semplice keyword counting.

Estrazione strutturata con TX Text Control

Il classificatore non tratta il documento come un blocco di testo piatto. Usando TX Text Control .NET Server, estrae il contenuto per regioni strutturali:

using var textControl = new ServerTextControl();
textControl.Create();
textControl.Load(docxPath, StreamType.WordprocessingML);

Vengono estratti separatamente:

• textControl.Paragraphs → testo del corpo
• textControl.Sections → HeadersAndFooters → intestazioni e piè di pagina di ogni sezione

Questa distinzione è fondamentale: nelle fatture, i termini identificativi come “FATTURA N.” appaiono tipicamente all’inizio del documento o nel titolo. Nei report, il tipo di documento è spesso incorporato nell’header. Ignorare queste regioni significherebbe perdere segnali classificatori di primo livello.

Structure Awareness: non tutto il testo vale uguale

Il miglioramento più significativo rispetto al semplice keyword matching è la consapevolezza della struttura. Il classificatore assegna pesi diversi agli stessi termini a seconda della regione in cui appaiono:

• Un termine nel titolo del documento ha peso massimo: è quasi certamente indicativo del tipo di documento
• Un termine in un heading H1/H2 ha peso alto
• Lo stesso termine nel corpo del documento ha peso standard
• Nel footer (tipicamente template boilerplate) il peso è ridotto

Questo approccio riflette come un essere umano leggerebbe effettivamente il documento: prima si guarda il titolo, poi le intestazioni principali, infine il corpo.

Scoring, confidence e spiegabilità

Al termine dell’analisi, il sistema restituisce non solo la categoria vincente, ma anche:

• Il confidence score (rapporto tra lo score della categoria vincente e la somma degli score di tutte le categorie)
• Una spiegazione dettagliata: quali regole hanno fatto match, in quale regione, con quale peso

Questa tracciabilità è essenziale per scenari di audit e compliance. Se un documento viene classificato erroneamente, il problema è sempre identificabile e correggibile: si modifica la regola nel JSON e si riclassifica. Nessun riaddestramento, nessuna nuova pipeline di dati.

Quando usare questo approccio (e quando no)

L’approccio deterministico è ottimale quando:

• Il set di categorie è definito e stabile (fatture, contratti, report, CV, ecc.)
• La compliance e l’auditability sono requisiti primari
• Il volume di documenti è alto e la velocità di classificazione è critica
• Non si dispone di dataset etichettati sufficienti per addestrare un modello

Dove l’AI rimane superiore è nei casi con categorie ambigue, linguaggio naturale molto variabile, o quando il set di categorie evolve rapidamente e non si vuole aggiornare manualmente le regole. Un’architettura ibrida – classificazione rule-based come primo filtro, AI solo per i casi borderline – è spesso la soluzione migliore in produzione.

Conclusione

La classificazione documentale senza AI non è un’alternativa di ripiego: è una scelta ingegneristica deliberata per sistemi che richiedono stabilità, spiegabilità e controllo. Il pattern rule-based, ponderato e configuration-driven descritto in questo articolo è già in uso in ambienti di produzione enterprise e offre vantaggi concreti in termini di manutenibilità e trasparenza.

Se il vostro stack include la gestione di documenti .docx in C#, questo approccio vale la pena di essere valutato prima di introdurre la complessità di un modello ML.

Fonte: Document Classification Without AI: Deterministic, Explainable, and Built for Production in C# .NET – Bjoern Meyer, TX Text Control Blog

Document Classification Without AI: Deterministic, Explainable, and Built for Production in C# .NET

In this article, we explore how to implement document classification without relying on AI. We will discuss deterministic methods that are explainable and suitable for production environments.

^{Bjoern Meyer (Text Control)}

(in)sicurezza digitale

2026-04-26 10:03:13

Operation Level Up: DoJ smantella il compound Shunda Park in Myanmar e sanziona il senatore cambogiano Kok An

Il Dipartimento di Giustizia degli Stati Uniti ha sferrato un attacco coordinato contro uno dei nodi più oscuri del cybercrimine organizzato in Asia sudorientale: lo Scam Center Strike Force ha incriminato due cittadini cinesi per aver gestito il compound Shunda Park in Myanmar, mentre l’OFAC ha sanzionato il senatore cambogiano Kok An e 28 entità collegate. L’operazione ha portato al sequestro di 503 siti web falsi di investimento in criptovalute e al recupero di oltre 562 milioni di dollari.

Lo Scam Center Strike Force e l’operazione Level Up

L’operazione è stata condotta nell’ambito di due iniziative parallele: Operation Level Up, focalizzata sul contrasto delle truffe di crypto-investimento, e lo Scam Center Strike Force, task force interagenziale del DoJ dedicata allo smantellamento dei compound criminali del Sudest asiatico. Complessivamente, le azioni coordinate hanno interrotto circa 9.000 casi di frode con criptovalute e bloccato oltre 700 milioni di dollari in asset digitali legati al riciclaggio di denaro.

I due imputati principali, Huang Xingshan e Jiang Wen Jie, sono stati incriminati per cospirazione in frode telematica. Huang Xingshan avrebbe supervisionato il controllo coercitivo sui lavoratori trafficked nel compound, mentre Jiang Wen Jie dirigeva direttamente le operazioni di scam. Entrambi si trovano attualmente in custodia in Thailandia, dove erano stati arrestati all’inizio del 2026 per violazioni delle leggi sull’immigrazione nel tentativo di rientrare in Myanmar.

Shunda Park: anatomia di un compound criminale

Il compound Shunda Park si trovava nel villaggio di Min Let Pan, nello Stato del Karen (Myanmar), in una zona controllata da milizie locali nella regione di confine con la Thailandia. Ha operato da almeno gennaio 2025 fino a novembre 2025, quando è stato sequestrato dal Karen National Liberation Army (KNLA). Questa dinamica rivela un dato significativo: i compound criminali del Sudest asiatico operano spesso in zone dove l’autorità statale è frammentata o assente, appoggiandosi a milizie e strutture paramilitari.

Secondo la documentazione del DoJ, le vittime dei reclutatori venivano attratte con offerte di lavoro ben retribuito in Thailandia nel settore tecnologico. Una volta giunte nella zona, i documenti d’identità venivano confiscati e i soggetti venivano trafficati in Myanmar e costretti a lavorare sotto minaccia di violenza. Le testimonianze raccolte dall’FBI descrivono condizioni di lavoro forzato in un’operazione industriale di frode.

Il meccanismo del “pig butchering”

Le truffe perpetrate da Shunda Park seguivano il classico schema del pig butchering (in cinese: 杀猪盘, shā zhū pán): i truffatori stabilivano relazioni personali con le vittime attraverso piattaforme di social networking e app di dating, costruendo nel tempo un rapporto di fiducia. Una volta guadagnata la fiducia della vittima, la conversazione veniva progressivamente indirizzata verso presunte opportunità di investimento in criptovalute su piattaforme false create ad hoc. Le vittime venivano incoraggiate a depositare somme crescenti, con la promessa di rendimenti straordinari visualizzati su dashboard manipolate, fino a quando i truffatori sparivano con i fondi.

Questa tecnica è particolarmente efficace perché i criminali dedicano settimane o mesi alla costruzione del rapporto, rendendo le vittime emotivamente investite prima di introdurre il componente finanziario. Le perdite individuali documentate nei casi americani raggiungono spesso centinaia di migliaia di dollari.

La rete di Kok An: senatore, casinò e human trafficking

Parallelamente alle incriminazioni penali, l’OFAC (Office of Foreign Assets Control) ha designato il senatore cambogiano Kok An, assieme al suo impero di affari, 28 individui e entità correlate — tra cui casinò, società di facciata e una banca cambogiana. Le designazioni documentano il ruolo di Kok An nel fornire infrastrutture fisiche e finanziarie ai network di human trafficking e frode cyber-enabled in Cambogia e nella regione.

L’inclusione di un senatore in carica tra i soggetti sanzionati rappresenta una mossa diplomaticamente significativa, segnalando la disponibilità dell’amministrazione americana a colpire direttamente figure politiche regionali che proteggono o facilitano queste operazioni. Esperti del settore avvertono tuttavia che i compound criminali, già dimostratasi resiliente, probabilmente si rilocalizzeranno piuttosto che cessare le operazioni.

Infrastruttura digitale sequestrata

Sul fronte digitale, l’operazione ha portato a risultati tangibili: sequestro di 503 siti web di investimento fake in criptovalute, abbattimento di un canale Telegram con oltre 6.000 follower usato per reclutare lavoratori forzati in Cambogia, blocco di oltre 700 milioni di dollari in criptovalute legate al riciclaggio. Questi numeri evidenziano la scala industriale dell’operazione: non si tratta di piccoli gruppi criminali, ma di organizzazioni con infrastrutture tecnologiche, risorse umane forzate, e strutture finanziarie sofisticate.

Il contesto geopolitico: Asia sudorientale come hub del cybercrimine

I compound criminali di Myanmar, Cambogia, Laos e Filippine sono emersi negli ultimi anni come il principale hub globale delle truffe online. Secondo le stime delle Nazioni Unite, centinaia di migliaia di persone sono vittime di trafficking forzato in questi compound. La particolarità di questa criminalità organizzata è la sua doppia natura: è contemporaneamente una crisi di human trafficking e una minaccia di cybercrimine sofisticato, con vittime sia tra i lavoratori forzati che tra le persone truffate.

Le azioni dell’amministrazione americana vanno lette anche in chiave geopolitica: la presenza di criminali cinesi alla guida di operazioni in Myanmar, unita alla complicità di figure politiche cambogiane, configura una rete di illegalità che attraversa le sfere di influenza della regione. La risposta americana con sanzioni OFAC e incriminazioni penali tenta di esercitare pressione su attori che operano fuori dalla giurisdizione diretta degli Stati Uniti.

Implicazioni per i difensori e indicatori di allerta

Per i professionisti della sicurezza, l’operazione Level Up offre spunti operativi utili. Le piattaforme di investimento in criptovalute false utilizzate nei pig butchering scam mostrano pattern infrastrutturali ricorrenti: domini registrati di recente con nomi che imitano exchange legittimi, certificati TLS validi ma hosting su provider offshore, assenza di registrazioni presso autorità di regolamentazione finanziaria, e dashboard di investimento con rendimenti manipolati in tempo reale.

Pattern infrastrutturali dei siti fake sequestrati:
- Registrazione dominio: <90 giorni prima del sequestro
- Hosting: provider offshore (generalmente Asia/Est Europa)
- TLD comuni usati: .vip, .top, .xyz, .pro
- Pattern nome dominio: [exchange-legittimo]-[suffisso] (es. coinbase-pro-vip[.]com)
- Assenza di registrazione SEC/FCA/CONSOB

Indicatori di una truffa pig butchering:
- Contatto non sollecitato via app di dating o social
- Proposta di investimento in crypto dopo periodo di "amicizia"
- Piattaforma di trading non verificabile su registri ufficiali
- Richiesta di deposit in crypto (irreversibile)
- "Rendimenti" visibili ma impossibilità di prelevare fondi

L’operazione Level Up dimostra che le forze dell’ordine internazionali stanno affinando le capacità di tracking delle criptovalute per seguire il flusso di fondi anche attraverso mixer e chain-hopping. La collaborazione tra FBI, OFAC e forze locali regionali rappresenta il modello operativo necessario per contrastare criminalità che, per definizione, ignora i confini nazionali.

slowforward

2025-09-11 10:43:36

elementi sparsi sull’uccisione deliberata di bambini palestinesi da parte di israele

In una discussione su fb non molto tempo fa, sono state messe in dubbio le numerosissime uccisioni di (e in particolare il cecchinaggio su) bambini palestinesi da parte dell’esercito genocida di israele. Qui di seguito la trascrizione di alcuni commenti in risposta:

Renata Morresi risponde a ***:

la fonte sono le interviste agli stessi (alcuni) soldati israeliani o gli americani impiegati nella GHF, i medici volontari europei, gli organi indipendenti che riescono a mantenere un piede a Gaza, le corrispondenze dei testimoni sul posto, le evidenze fotografiche di teste sfracellate, due anni di flusso sempre più indebolito ma mai davvero interrotto (esistono i telefoni), i testimoni, non solo palestinesi ma anche ebrei, che sanno bene poi cosa accade in Cisgiordania (dove non ci sono ostaggi), come si legge anche sui nostri quotidiani, basta anche solo leggere Il Sole 24 Ore, di certo non finanziato da Hamas. Mi dispiace che si confonda richiesta di giustizia con questo script su di una equidistanza che sul campo è inesistente, a fronte di una disparità di potere incomparabile: Gaza è un posto senza scampo e sotto assedio, neanche le acque internazionali davanti la striscia sono praticabili, i palestinesi non possono neanche entrare in acqua, le riprese satellitari ci dicono di una regione dove metà dell’abitato è distrutto, le infrastrutture civili danneggiate deliberatamente, la popolazione è forzata al continuo sfollamento, in un luogo dove sono state usate armi proibite e dall’impatto distruttivo (sugli umani e sull’ambiente) in una quantità senza precedenti, e per cui i ministri del governo di un criminale di guerra invocano la distruzione definitiva e la pulizia etnica. Gli ebrei della diaspora stanno scrivendo e protestando in tutto il mondo contro questo progetto furioso. Quello che più mi sconcerta è che in nome della paura dell’antisemitismo si propaga del vero antisemitismo, che non sta tanto nell’uso, a volte, certo, provocatorio, di un certo lessico, ma nel continuo screditare i testimoni, e la cultura della testimonianza tutta, su cui le conquiste più importanti (civili, umane) del secondo dopoguerra occidentale si sono poggiate. Non rendersi conto che definire “montatura” o “esagerazione” quel che accade sotto i nostri occhi in Palestina, persino ammantandosi di un presunta posizione razionale superiore, è un atto ideologico che avalla il paradigma negazionista. È stato detto da persone e studiosi molto più influenti e strutturate di me, e migliaia di ebrei della diaspora, ma anche a Tel Aviv, protestano e si fanno arrestare in nome della fine dello sterminio e del ritorno a processi di negoziazione della pace. Per me, francamente, i veri antisemiti sono quegli europei (vedi cancelliere tedesco) che ringraziano i criminali di guerra israeliani per il “lavoro sporco”. Dobbiamo vergognarci, e oramai per sempre.

MG risponde a ***:

se fai un salto su google maps e butti un occhio alla Palestina, ti resteranno pochi dubbi sulla sorte non dei soli bambini.
in ogni caso, da due anni raccolgo materiali. mi dispiace confermare non solo che la macelleria (e il cecchinaggio) intenzionale dei bambini ha fondamento (pensiamo solo al caso di Hind Rajab, più di 300 proiettili di mitragliatrice di tank sparati a una bambina di sei anni), ma che è abbondantemente comprovata degli ordini e dagli incitamenti dei quadri militari, dei politici, dei conduttori televisivi, degli influencer, delle personalità religiose e laiche israeliane (t.ly/uP23L). sostanzialmente stanno esortando attivamente, almeno dall’ottobre 2023, a cancellare l’intera popolazione palestinese, assolutamente inclusi i bambini e le donne.
non vedo come questo possa essere negato, se fa parte oltretutto di dossier e documentazioni di praticamente tutte le associazioni umanitarie, oltre che delle corti di giustizia. (consideriamo solo Amnesty, per brevità: slowforward.net/2025/02/06/gen…).
le prove ammontano ormai a qualche centinaia di migliaia di materiali. (purtroppo).

qualche link, veramente una briciola, qui di seguito, in ordine non cronologico.

British surgeon Nizam Mamode break down briefly while testifying to the UK Parliament about how Israeli “quadcopters” killing drones would systematically arrive at the scene of airstrikes in Gaza to “shoot” the injured, including children while they were laying on the floor. Respect to Sarah Champion
threads.net/@alhelou.y/post/DC…

shooting children in the head is wrong but israel seems not to understand that
slowforward.net/2025/01/25/sho…
(nel post qui sopra si cita il medico ebreo americano Mark Perlmutter: instagram.com/reel/DDu05pRycza…)

Unicef: più di 130 bambini uccisi in un solo giorno
slowforward.net/2025/03/19/uni…

amputazioni
instagram.com/p/DDOkzyHsDeQ/

giugno 2025 e i soli primi cinque giorni di luglio
slowforward.net/2025/07/05/gen…
e slowforward.net/2025/07/03/har…

netanyahu’s willing executioners
slowforward.net/2024/08/06/net…

injured children and the forced displacement of the indonesian hospital’s patients
mega.nz/file/6pExQYJS#0rwSqVTA…

video: little child trying to escape from the fire an israeli airstrike set on the school she and her family chose as a shelter
slowforward.net/2025/05/26/vid…

israeli army snipers shot 9-year-old Alaa Abu Aasi in the back as she played near her tent.
Let’s repeat: a 9-year-old girl was shot in the back.
x.com/Daline_Dee_99/status/182…
e mega.nz/file/f5dEGaIT#wz6HdaMy…

10 years old, shot in the head by an israeli quadcopter drone while she was playing in her tent
slowforward.net/2025/06/09/10-…

another headless child
x.com/RyanRozbiani/status/1811…
and other children
instagram.com/reel/C9ViElCtxAc… +
instagram.com/reel/C9XdtunpYIw…

israeli soldiers set an attack dog loose on a 3 years old child
instagram.com/reel/DCFmbGQRNNU…

child under the rubble (one of the many thousand)
x.com/vikingwarior20/status/18…

Middle East Monitor (video seen on Aug. 25, 2024): Hebron, israeli soldier throwing a stun grenade into a car with two children inside
instagram.com/reel/C_DYqDaI7LF…
= mega.nz/file/Pls0iSjR#FOq4kTdv…

a girl under the age of six, almost killed by an israeli airstrike
slowforward.net/2025/06/30/a-g…

aggiungo qualche altro link, a partire da questo: slowforward.net/2025/08/01/the…

e poi (sempre in ordine non cronologico):
slowforward.net/2025/06/04/isr…

slowforward.net/2025/03/31/ins…

slowforward.net/2024/02/14/lin…

slowforward.net/2025/06/30/aft…

slowforward.net/2025/05/20/vid…

il 7 ottobre è stato attivamente voluto dalla dirigenza fascista israeliana, per poter portare a termine il progetto genocida su cui israele di fatto si fonda.
è giustissimo quando si dice che “you can’t become a genocide overnight”: instagram.com/reel/DM0TpWKu_ax…

19 marzo 2025:
Un bambino di Gaza ha visto sua madre bruciare viva. Poi è morto anche lui.
Mentre la guerra genocida di Israele riprende a Gaza, intere famiglie vengono sterminate dai bombardamenti e le case familiari diventano tombe di famiglia. I sopravvissuti raccontano a Mondoweiss che la maggior parte dei morti sono donne e bambini.
Con profonda tristezza, Muhammad Hamidi racconta a Mondoweiss che nei suoi ultimi istanti di vita, il nipote di tre anni ha guardato la madre e il fratello bruciare. “Il bambino era indifeso”, ha detto.
Quando sua madre è stata bruciata viva mentre cullava il figlio di un anno, portava anche un feto nel grembo. Tutte e tre le vite sono state stroncate.
[…] continua qui:
slowforward.net/2025/03/21/la-…

Fonti: UN, OCHA, MSF, Al Jazeera, Mondoweiss, Haaretz, UNICEF, Amnesty Int., Reuters, Human Rights Watch, Palestinian Red Crescent Society, Croce Rossa Int., Euro-med Human Rights, Save the children, Unrwa, Defence for children

*

diciamo che la Direttiva Hannibal ci ha messo lo zampino, nel 7 ottobre? o per niente? diciamo che anche Gabor Matè nega recisamente che ci siano stati stupri il 7 ottobre? diciamo che da tempo netaneccetera era stato ben informato dai servizi segreti egiziani di quel che bolliva in pentola? lo diciamo che i finanziamenti ad Hamas sono stati una delle voci di spesa del bilancio sionista, non solo al fine di dividere le rappresentanze politiche palestinesi ma soprattutto per tagliare fuori qualsiasi ipotesi di esistenza di uno Stato palestinese?

hamas nasce dopo 40 anni di pulizia etnica effettiva. Questa storia che Hamas è il Male e Israele il bene grida vendetta da prima del 1948.
Senza contare le differenze tra lo statuto di Hamas prima e dopo il 2017.
Ma poi faccio un’altra osservazione: se uno Stato commette un genocidio, fa fuori oltre 60mila civili innocenti (altre stime, non di hamas, parlano di oltre 350mila morti su 2,2 milioni; e si escludono i dispersi, i feriti e i mutilati a vita), e se questo Stato distrugge più di 900 famiglie completamente, 36 ospedali, sedi Onu, oltre 220 giornalisti, e rade al suolo chiese, moschee, rifugi, … non continuo l’elenco, sarebbe di decine di altre ‘voci’; se uno stato, dicevo, fa questo, oltre a rubare terre a valanga in Cisgiordania, e milioni di metricubi di gas naturale al largo delle coste di Gaza, … insomma, se uno stato, quale che sia (islamista, sionista, cristiano, scientologico, induista, marziano), fa robe del genere, ***, glielo vogliamo mettere in dubbio il diritto di avere qualsiasi voce in capitolo a livello internazionale? vogliamo metterlo un punto interrogativo sulla sua esistenza, >>> nella forma che dimostra di attuare <<<, ossia SE PER ESISTERE *DEVE* DI FATTO ESSERE GENOCIDA?

*

children have become the main target of Israeli snipers
youtube.com/watch?v=uo4vRCNtbG…

a proposito della chiesa della Sacra Famiglia a Gaza, questa non è la notizia più recente (che ha, alla buon’ora, indignato i panzer al governo in italia), è di un anno fa:
Israeli sniper ‘shot in cold blood’ mother and daughter in Gaza church
youtube.com/watch?v=Otw-1JQsP2…

15 feb. 2024:
youtube.com/watch?v=OJr_bHcvIb…

theconversation.com/israels-wa…

theguardian.com/world/2024/apr…

corriere.it/esteri/25_maggio_1…

corriere.it/esteri/25_luglio_1…

questo articolo: truthout.org/articles/israeli-… rimanda a queste (atroci) immagini: x.com/MahaGaza/status/18814184…

“Ci vogliono oltre otto ore di lettura, senza pause, per scorrere con gli occhi l’interminabile lista di nomi dei 18.500 bambini palestinesi uccisi da Israele. Un’iniziativa editoriale senza precedenti li ha raccolti tutti, almeno quelli che conosciamo, in un articolo del Washington Post. Quasi un terzo delle oltre 60mila vittime delle bombe e dei proiettili di Tel Aviv erano minori. I nomi sono in ordine di età. Circa mille non avevano ancora compiuto un anno”.
ilfattoquotidiano.it/2025/07/3…

(18.500 è ovviamente una stima che purtroppo andrà a crescere enormemente, quando si accumuleranno ulteriori dati)

(per esempio: )
unicef.it/media/striscia-di-ga…
juancole.com/2024/07/shredding…

insisto sulla testimonianza di Mark Perlmutter (“No toddler gets shot twice by mistake”)
scnr.com/article/u-s-doctors-r…

*

la differenza che su questo pianeta si sta delineando, anzi che si è di fatto delineata marcatamente, soprattutto ma non esclusivamente negli ultimi due anni, è tra chi ha seguito le fasi del genocidio attraverso testimonianze, lettere, video, foto, dirette social, conversazioni, documentari, articoli, podcast, report sanitari, materiali giuridici e risultanze di indagini, e chi no.
questa differenza credo dica qualcosa sul tipo di bivio davanti a cui è messa la specie umana da quando il martirio della Palestina è iniziato (ovvero da ben prima del 2023).

in questo senso bisogna meditare attentamente su quello che Caitlin Johnstone scriveva poco tempo fa: slowforward.net/2025/07/25/e-u…

#bambini #children #colonialism #Gaza #genocide #genocidio #IDF #invasion #IOF #israelcriminalstate #israelestatocriminale #israelterroriststate #izrahell #Palestina #Palestine #sionismo #sionisti #starvingcivilians #starvingpeople #warcrimes #zionism

U.S. Doctors Report IDF Snipers Intentionally Targeting Children In Gaza

‘No toddler gets shot twice by mistake by the “world's best sniper.” And they're dead-center shots.’

^{Adrian Norman (SCNR)}