(in)sicurezza digitale

2026-04-13 13:43:24

La catena di fornitura software colpita: come CPUID è stata compromessa per distribuire il RAT stealer STX

Nel mese di aprile 2026, i ricercatori di sicurezza hanno identificato un attacco di supply chain sofisticato ai danni di CPUID, l’azienda dietro i popolarissimi tool di monitoraggio hardware CPU-Z e HWMonitor. Gli attaccanti hanno compromesso i server dell’azienda e reindirizzato i download ufficiali verso versioni malware. Per il corso di sei ore, gli utenti che scaricavano CPU-Z e HWMonitor dai siti ufficiali ricevevano un Remote Access Trojan precedentemente non documentato denominato STX RAT.

Questo incidente exemplifica una tendenza crescente nel panorama delle minacce informatiche: gli attaccanti hanno capito che il modo più efficace per ottenere una penetrazione di massa non è attaccare i singoli utenti, ma compromettere i software publisher e i loro canali di distribuzione. Se il software che stai scaricando oggi da un sito ufficiale contiene malware, la fiducia nella sicurezza della catena di distribuzione software crolla completamente.

Anatomia dell’attacco: come gli attaccanti hanno compromesso CPUID

A differenza di molti attacchi di supply chain che richiedono il compromesso dei sistemi di build e signing di un’azienda, gli attaccanti dietro questo incidente hanno adottato un approccio più mirato. Invece di cercare di infettare i binari finali di CPU-Z o HWMonitor (che sono firmati digitalmente), gli attaccanti hanno compromesso un’API secondaria utilizzata da CPUID per servire i link di download sul proprio sito web.

Modificando questa API, gli attaccanti hanno reindirizzato le richieste degli utenti verso file malevoli ospitati su Cloudflare R2. Le vittime pensavano di scaricare il software legittimo direttamente dal sito CPUID, ma ricevevano invece il malware. Non è stata trovata alcuna evidenza che gli attaccanti abbiano compromesso il processo di compilazione, il sistema di signing dei binari, o i server di controllo della versione di CPUID.

Il malware: STX RAT e le sue capacità

STX RAT è stato nominato da eSentire per la sua caratteristica firma tecnica: l’utilizzo consistente del byte STX come magic byte per prefisso nei messaggi diretti al command-and-control (C2).

Capacità di infostealer

Browser e credenziali web:

• Estrazione di password, cookie, e dati di autofill da Firefox, SeaMonkey, e browser basati su Chromium (Chrome, Edge, Brave, ecc.)
• Bypass potenziale di Application-Bound Encryption (ABE) sulle credenziali crittografate di Windows

Portafogli di criptovalute:

• Furto di chiavi private da Litecoin-Qt, Electrum, e altri wallet desktop
• Accesso a file di configurazione che contengono seed phrase o wallet backup

Credenziali client FTP:

• Estrazione di dati di accesso da FileZilla, WinSCP, e altri client FTP

Remote Desktop nascosto (HVNC)

Una capacità particolarmente insidiosa di STX RAT è il supporto per hidden VNC (Virtual Network Computing). Questo permette all’attaccante di:

• Avviare una sessione desktop virtuale nascosta che non è visibile agli utenti locali
• Controllare il mouse e la tastiera tramite l’API SendInput di Windows
• Eseguire applicazioni e navigare nel filesystem senza alcun indicatore visibile all’utente locale
• Accedere ai dati sensibili mentre l’utente legittimo è offline

I comandi supportati includono “starthvnc”, “keypress”, “mouseinput”, “mousewheel”, e “switchdesktop”, fornendo una suite completa di controllo remoto.

Tattica di delivery: DLL Sideloading

Il vettore di consegna del malware utilizza una tecnica classica pero ancora efficace: DLL sideloading (also known as DLL hijacking). Quando un utente scaricava il file trojanizzato da HWMonitor, conteneva:

• HWMonitor_x64.exe – Un file con nome legittimo (il binario vero di HWMonitor)
• CRYPTBASE.dll – Una DLL malevola che l’eseguibile legittimo carica automaticamente

Poiché Windows segue un ordine di ricerca delle DLL specifico, quando HWMonitor_x64.exe cerca di caricare CRYPTBASE.dll, trova prima la versione malevola nella stessa directory. Questo causa l’esecuzione del codice dell’attaccante con gli stessi privilegi dell’applicazione legittima.

Indicatori tecnici e infrastruttura C2

C2 Server: 95.216.51.236
Malware: STX RAT
Compromesso: 9-10 aprile 2026
Download malevoli: CPU-Z, HWMonitor versioni x64 e x86
DLL sideload: CRYPTBASE.dll

Il malware STX RAT è configurato per contattare il C2 all’indirizzo IP 95.216.51.236. Al primo contatto, il malware invia un messaggio di “introduzione” contenente: nome dell’host, nome utente, versione OS, status amministrativo, RAM disponibile, e elenco antivirus installati.

Inoltre, eSentire ha documentato che STX RAT supporta il routing del traffico C2 attraverso Tor per garantire anonimato, rendendo la tracciatura della comunicazione estremamente difficile.

Impatto e distribuzione

Kaspersky ha identificato oltre 150 vittime dirette dell’incidente CPUID. La distribuzione geografica mostra una concentrazione in Brasile, Russia, e Cina, con settori colpiti che includono: retail e e-commerce, manufacturing, consulting, telecomunicazioni, e agricoltura.

Il fatto che utenti in settori critici siano stati infetti suggerisce che STX RAT potrebbe essere utilizzato sia per cyber-spionaggio che per estorsione, poiché il malware combina capacità di reconnaissance (infostealing) con accesso remoto completo (HVNC).

Timeline dell’incidente

• 9 aprile 2026, ~15:00 UTC: Gli attaccanti modificano l’API di CPUID, reindirizzando i download
• 10 aprile 2026, ~10:00 UTC: CPUID scopre l’anomalia e ripristina l’API
• 10 aprile 2026: eSentire pubblica analisi tecnica del malware
• 13 aprile 2026: Kaspersky fornisce dati sulla distribuzione geografica

Raccomandazioni per le organizzazioni

• Verifica dell’integrità: Implementare processi di verifica dell’hash per tutti i software scaricati, anche da fonti ufficiali.
• Sandboxing: Eseguire software appena scaricati in ambienti virtuali isolati prima dell’installazione.
• Monitoraggio DLL loading: Implementare EDR in grado di rilevare il caricamento inusuale di DLL.
• Blocco C2: Aggiungere 95.216.51.236 alle blocklists firewall immediate.
• Credential rotation: Ruotare credenziali per chi ha scaricato HWMonitor/CPU-Z tra 9-10 aprile.
• Threat intelligence: Adottare YARA rules da eSentire per rilevare STX RAT in memoria.

Conclusione

L’incidente CPUID dimostra che la sicurezza della catena di distribuzione software non è negoziabile. Anche i siti ufficiali di società legittime possono essere compromessi. I defender devono adottare un mindset di “zero trust” verso qualsiasi software e implementare verifiche multi-strato di integrità e autenticità prima dell’esecuzione.

Spcnet.it

2026-04-13 13:42:44

.NET Aspire 13.2: la modalità isolata risolve i conflitti di porta nello sviluppo parallelo

Chiunque abbia lavorato con .NET Aspire su progetti reali si è prima o poi scontrato con il classico errore: “Port 17370 is already in use”. Capita quando si prova ad avviare una seconda istanza dell’AppHost — magari su un altro branch, o in un altro terminale — e le porte predefinite sono già occupate dalla prima istanza in esecuzione. Con Aspire 13.2, questo problema ha finalmente una soluzione elegante: la modalità isolata (--isolated).

In questo articolo vediamo nel dettaglio come funziona questa nuova funzionalità, i casi d’uso pratici, e le altre novità rilevanti di questa release.

Il problema: conflitti di porta nello sviluppo parallelo

In un tipico progetto .NET Aspire, l’AppHost configura i binding delle porte per tutti i servizi nell’orchestrazione: la dashboard su una porta, l’API su un’altra, il database su un’altra ancora. Questi binding sono statici per default, e questo crea problemi immediati quando si vuole eseguire due istanze dello stesso AppHost contemporaneamente:

• Sviluppo su due branch in parallelo con git worktrees
• Test di integrazione che richiedono un AppHost “live” mentre si continua a sviluppare
• Agenti AI che creano automaticamente worktree separati per task paralleli
• Pipeline CI/CD locali che eseguono più istanze dello stesso progetto

La soluzione tradizionale era modificare manualmente i port binding nella configurazione — un approccio fragile, soggetto a errori e difficile da gestire in team.

La soluzione: la flag --isolated

Aspire 13.2 introduce la flag --isolated che risolve il problema alla radice. L’utilizzo è semplicissimo:

aspire run --isolated
# oppure
aspire start --isolated

Quando si passa --isolated, la CLI genera un identificativo univoco per l’istanza corrente, e questo ID guida due comportamenti fondamentali:

1. Randomizzazione automatica delle porte

Invece di usare le porte definite staticamente nell’AppHost, ogni istanza isolata riceve un range di porte casuali disponibili. Dove un run normale potrebbe bindare i servizi su 8080, 8081, 8082, due istanze isolate potrebbero usare rispettivamente:

• Istanza 1: 15234, 15235, 15236
• Istanza 2: 22891, 22892, 22893

La cosa notevole è che il codice dell’applicazione non necessita alcuna modifica: il service discovery di Aspire risolve gli endpoint dinamicamente a runtime, quindi i servizi si “trovano” a prescindere dalle porte assegnate.

2. Isolamento dei user secrets

La configurazione rimane completamente separata per ogni istanza. Connection string, chiavi API e altre variabili d’ambiente non si “contaminano” tra run diversi, anche quando puntano a risorse Azure o database con nomi diversi. Questo è particolarmente importante in scenari di test dove ogni istanza deve operare in modo completamente autonomo.

Casi d’uso pratici

Git worktrees multipli

Il caso d’uso più comune: sviluppo su due branch in parallelo.

# Terminale 1 - branch principale
cd ~/projects/myapp-main
aspire run --isolated

# Terminale 2 - feature branch
cd ~/projects/myapp-feature-xyz
aspire run --isolated

Entrambe le istanze partono senza conflitti, con porte diverse assegnate automaticamente. La dashboard di Aspire di ciascuna istanza è accessibile su porte diverse, e i servizi di ciascuna istanza sono completamente separati.

Test di integrazione con AppHost live

Un pattern molto utile: eseguire test di integrazione contro un AppHost “live” mentre si continua a sviluppare sull’AppHost principale.

# AppHost per sviluppo interattivo
aspire run --isolated

# In un altro terminale: avvia i test che usano il loro AppHost dedicato
dotnet test --isolated-apphost

Con la modalità isolata, i test non interferiscono con l’ambiente di sviluppo e viceversa.

Sviluppo agentico

Questo è il caso d’uso che ha spinto direttamente lo sviluppo di questa feature. Gli agenti AI in VS Code Copilot possono creare automaticamente git worktree separati per task paralleli. Con --isolated, ogni agente può avviare il proprio AppHost nella sua directory di lavoro senza conflitti con la sessione principale dello sviluppatore.

Aspire 13.2 include anche il comando aspire agent init (rinominato da aspire mcp init) che configura automaticamente gli agenti per usare --isolated con i worktree git.

Nuovi comandi CLI in Aspire 13.2

La modalità isolata non è l’unica novità della CLI. Aspire 13.2 introduce una serie di nuovi comandi operativi che rendono la gestione delle istanze molto più potente:

aspire ps — lista delle istanze attive

Elenca tutti gli AppHost Aspire in esecuzione sulla macchina, con le relative informazioni (porte, stato, ID istanza). Utile specialmente quando si hanno più istanze isolate attive contemporaneamente e si vuole sapere cosa sta girando.

aspire ps
# Output:
# ID           PROJECT          STATUS    DASHBOARD
# abc123       myapp-main       Running   http://localhost:15234
# def456       myapp-feature    Running   http://localhost:22891

aspire describe — dettagli sulle risorse

Accede ai dettagli di una risorsa specifica direttamente dal terminale, senza dover aprire la dashboard:

aspire describe api
# Mostra endpoint, variabili d'ambiente, stato health, ecc.

aspire doctor — diagnostica dell’ambiente

Esegue un controllo completo dell’ambiente di sviluppo: verifica che tutte le dipendenze siano installate correttamente (Docker, .NET SDK, ecc.) e segnala eventuali problemi di configurazione.

aspire wait — attesa su uno stato specifico

Blocca l’esecuzione in script di automazione finché una risorsa non raggiunge uno stato specifico. Utile in pipeline CI/CD o in script di startup:

aspire run --isolated &
aspire wait --resource api --state Running
# Ora l'API è sicuramente up, posso eseguire i test

aspire export — export di telemetria e dati

Cattura telemetria e dati delle risorse in formato JSON per analisi offline o per integrazione con altri strumenti.

TypeScript AppHost in preview

Una delle novità più interessanti di Aspire 13.2 è il supporto preview per scrivere l’AppHost in TypeScript. Fino ad ora, l’AppHost era necessariamente un progetto C#. Con questa release, è possibile usare TypeScript con una sintassi idiomatica:

import { createBuilder } from '@aspire/hosting';

const builder = await createBuilder();

// Aggiunge Redis come risorsa
const cache = await builder.addRedis("cache");

// Aggiunge un servizio Node.js con dipendenza da Redis
const api = await builder.addNpmApp("api", "../api")
    .withReference(cache);

await builder.build().run();

Il TypeScript AppHost funziona come un processo guest che comunica tramite JSON-RPC con l’orchestrator .NET sottostante. La CLI gestisce automaticamente la generazione degli SDK TypeScript quando si esegue aspire add, e aspire restore li rigenera se necessario.

Questa funzionalità è ancora in preview e non è raccomandata per produzione, ma è un segnale chiaro della direzione che sta prendendo Aspire: abbracciare anche gli sviluppatori TypeScript/Node.js, non solo quelli .NET.

Miglioramenti alla dashboard

Export e import di telemetria

La dashboard introduce un dialog centralizzato “Manage logs and telemetry” che permette di:

• Esportare risorse e telemetria come JSON
• Esportare variabili d’ambiente come file .env
• Importare dati da sessioni precedenti

API HTTP per telemetria

Nuovo endpoint /api/telemetry sulla dashboard che permette query programmatiche dei dati di telemetria con supporto streaming NDJSON. Utile per integrare la telemetria di Aspire con strumenti di monitoring esterni o script di analisi.

Impostazione parametri dalla UI

È ora possibile impostare i parametri delle risorse direttamente dalla dashboard, con opzione di salvataggio nei user secrets. Questo elimina la necessità di modificare manualmente i file di configurazione per cambiare un parametro durante il debug.

Miglioramenti al visualizzatore GenAI

Chi usa Aspire con workload AI troverà utili i miglioramenti al GenAI visualizer: migliore gestione di schemi complessi, payload troncati, testo non-ASCII e navigazione tra definizioni di tool.

Altre novità rilevanti

Endpoint MCP per i servizi

È possibile dichiarare server Model Context Protocol (MCP) direttamente nell’AppHost con il nuovo metodo WithMcpServer():

var api = builder.AddProject<Projects.MyApi>("api")
    .WithMcpServer("/mcp");

Aspire gestirà automaticamente la discovery dell’endpoint MCP, rendendolo disponibile agli agenti AI che operano nell’ambiente.

Docker Compose publishing stabile

L’integrazione con Docker Compose passa da prerelease a stabile. È ora possibile generare un docker-compose.yaml completo direttamente dal modello di app Aspire con aspire publish --format docker-compose.

Azure Virtual Network

Nuovo pacchetto Aspire.Hosting.Azure.Network per la gestione di reti virtuali Azure:

var vnet = builder.AddAzureVirtualNetwork("vnet");
var subnet = vnet.AddSubnet("web", "10.0.1.0/24");
var natGateway = vnet.AddNatGateway("nat");


Breaking changes da tenere a mente

Se stai aggiornando un progetto Aspire esistente a 13.2, ci sono alcune breaking changes da considerare:

1. Variabili Service Discovery: usano ora lo schema endpoint invece del nome endpoint
2. File di configurazione: preferenza per aspire.config.json unificato (migrazione automatica al primo run)
3. Comandi risorse: resource-start → start, resource-stop → stop
4. Dashboard API: ora opt-in per dashboard standalone
5. Pacchetto AIFoundry: Aspire.Hosting.Azure.AIFoundry → Aspire.Hosting.Foundry
6. WithSecretBuildArg: rinominato in WithBuildSecret

Per aggiornare, usa:

aspire update --self   # aggiorna la CLI
aspire update          # aggiorna i pacchetti del progetto

Conclusione

Aspire 13.2 è una release sostanziosa che affronta problemi concreti del workflow di sviluppo. La modalità --isolated è probabilmente la novità più impattante per il day-to-day: risolve un pain point reale in modo elegante, senza richiedere modifiche al codice dell’applicazione.

L’aggiunta del TypeScript AppHost in preview è un segnale importante della direzione di Aspire verso un ecosistema più inclusivo, mentre i nuovi comandi CLI (ps, describe, doctor, wait) rendono Aspire molto più adatto a workflow di automazione e sviluppo agentico.

Chi lavora già con Aspire troverà questo aggiornamento decisamente consigliato. Chi non lo ha ancora provato, potrebbe essere il momento giusto per iniziare — soprattutto se lavora con architetture microservizi in .NET.

Fonti: Running Multiple Instances of an Aspire AppHost Without Port Conflicts · What’s new in Aspire 13.2

Running Multiple Instances of an Aspire AppHost Without Port Conflicts

Aspire 13.2 introduces isolated mode, letting you run multiple instances of the same AppHost in parallel without port conflicts.

^{James Newton-King (Aspire Blog)}

Spcnet.it

2026-04-13 09:09:55

Visual Studio Code 1.116: tutte le novità di aprile 2026

Microsoft ha rilasciato Visual Studio Code 1.116, l’aggiornamento di aprile 2026, che porta con sé una serie di miglioramenti significativi focalizzati sull’Agent Mode, sull’integrazione con Copilot e sulla produttività dello sviluppatore. In questo articolo analizziamo nel dettaglio le novità più rilevanti per chi usa VS Code come ambiente di sviluppo quotidiano.

Agent Mode e Copilot: le novità principali

Il grosso degli investimenti di questa release riguarda ancora una volta l’ecosistema degli agenti AI integrati nell’editor. Microsoft continua a spingere forte su questo fronte, e i risultati iniziano a farsi sentire in termini di produttività concreta.

Storico sessioni agenti nel Debug Panel

Una delle funzionalità più attese arriva finalmente: è ora possibile sfogliare lo storico delle sessioni degli agenti direttamente dall’Agent Debug Panel. Questo significa che non si perde traccia delle conversazioni precedenti con gli agenti, e si può tornare a consultare cosa un agente ha fatto in sessioni passate — utile soprattutto in workflow complessi dove si delega a Copilot l’esecuzione di task multi-step.

Generazione automatica dei nomi di branch

Il Copilot CLI agent può ora generare automaticamente i nomi dei branch Git a partire dal prompt dell’utente. Invece di dover pensare a un nome descrittivo, è sufficiente descrivere cosa si sta facendo e l’agente proporrà un nome di branch appropriato e consistente con le convenzioni del progetto. Una piccola cosa, ma che in team grandi fa davvero la differenza.

Controllo del reasoning effort

VS Code 1.116 introduce il controllo della profondità di ragionamento (reasoning effort) per le sessioni Copilot CLI. Questo permette di bilanciare velocità e qualità delle risposte: per task semplici si può usare un effort minore (risposte più rapide), mentre per problemi complessi si può alzare il livello per ottenere analisi più approfondite. Funzionalità particolarmente utile per chi lavora con modelli che supportano ragionamento esteso come o3 o Claude 3.7.

Strumenti terminale migliorati per gli agenti

Gli strumenti terminale degli agenti ricevono un aggiornamento importante: ora funzionano con i terminali in foreground. Questo vuol dire che send_to_terminal e get_terminal_output possono interagire con qualsiasi terminale visibile nell’interfaccia, non solo con quelli creati dall’agente stesso.

È stato aggiunto anche un pulsante Focus Terminal nel carosello delle domande dell’agente: quando un agente ha bisogno di input diretto (ad esempio una password o una conferma interattiva), l’utente può focalizzare il terminale con un click senza dover navigare manualmente nell’interfaccia.

Viene introdotto anche lo stato NeedsInput nel protocollo Agent Host: un nuovo status che segnala quando una sessione agente è in attesa di input utente. Questo permette alle estensioni e agli strumenti di terze parti di rilevare questa condizione e reagire di conseguenza — ad esempio mostrando notifiche o sbloccando blocchi di automazione.

Miglioramenti all’editor

Breakpoint widget tramite Alt+click

Una piccola ma benvenuta aggiunta: è ora possibile aprire il widget breakpoint con Alt+click direttamente nella gutter (la barra laterale con i numeri di riga) dell’editor. In precedenza era necessario usare click destro e navigare nel menu contestuale. Questo accelera il workflow di debugging, specialmente quando si devono impostare breakpoint condizionali o con log point.

CSS @[url=https://mastodon.social/users/import]Asia Link Import & Export[/url] con risoluzione node_modules

Per chi lavora con CSS e preprocessori, arriva il supporto per la risoluzione dei path node_modules negli import CSS. Ora è possibile fare Ctrl+Click su un import del tipo @import '~bootstrap/scss/bootstrap' e VS Code risolverà correttamente il percorso al modulo installato in node_modules. Funzionalità attesa da tempo, specialmente da chi usa SCSS in progetti con molte dipendenze npm.

Diff editor nei contesti agentic

I diff editor usati dagli agenti ora mostrano un pulsante “Open File” che permette di aprire direttamente il file originale dal diff. Una piccola friction in meno nel workflow di review delle modifiche proposte da Copilot.

TextMate grammars: nuovo token type “regex”

Per chi sviluppa estensioni con grammar TextMate, è stato aggiunto “regex” come token type supportato. Utile per definire regole di colorazione sintattica per espressioni regolari in linguaggi che le supportano natively.

Accessibilità

VS Code 1.116 porta diversi miglioramenti per l’accessibilità, in particolare per gli utenti che usano screen reader:

• Dialog di aiuto per l’input chat degli agenti: accessibile con ⌥F1 (macOS) o Alt+F1 (Windows/Linux), mostra comandi e scorciatoie disponibili nell’input chat degli agenti con istruzioni specifiche per gli screen reader.
• Navigazione risultati di ricerca: nuove istruzioni per navigare i risultati di ricerca con Ctrl+Down Arrow usando screen reader.
• Scorciatoie dedicate nell’app Agents: nuovi shortcut da tastiera per navigare tra la visualizzazione Changes, l’albero dei file nella Changes view e la Chat Customizations view — permettendo la navigazione full-keyboard senza toccare il mouse.

API per sviluppatori di estensioni

Chi sviluppa estensioni per VS Code trova in questa release alcune API nuove interessanti:

Diff cumulativi per sessione

Le API del protocollo Agent Host espongono ora i diff cumulativi per sessione: dopo ogni turno dell’agente sono disponibili statistiche aggregate sulle modifiche ai file effettuate durante l’intera sessione. Utile per costruire strumenti di monitoring o reporting sull’attività degli agenti.

Completamenti contestuali nell’app Agents

I completamenti attivati con il carattere # nell’app Agents ora supportano il context file scoping al workspace selezionato. Questo significa che i suggerimenti di completamento per i file sono limitati al workspace corrente, evitando confusione in setup multi-root.

Scorciatoia per il browser integrato

È stata aggiunta una scorciatoia globale per attivare/disattivare il browser integrato — particolarmente utile per chi fa sviluppo web e alterna frequentemente tra codice e preview.

Come aggiornare

VS Code si aggiorna automaticamente, ma se vuoi forzare l’aggiornamento puoi usare il menu Help → Check for Updates (Windows/Linux) o Code → Check for Updates (macOS). In alternativa, puoi scaricare l’installer direttamente da code.visualstudio.com.

Per consultare le release notes complete direttamente in VS Code, usa il comando Show Release Notes dalla Command Palette (Ctrl+Shift+P / Cmd+Shift+P).

Conclusione

VS Code 1.116 consolida ulteriormente l’ecosistema agentic dell’editor, con miglioramenti che rendono gli agenti AI più controllabili, più trasparenti e più integrati nel workflow quotidiano dello sviluppatore. Le novità sull’accessibilità sono benvenute, e le piccole migliorie all’editor (breakpoint widget, CSS imports) dimostrano che Microsoft non trascura nemmeno le funzionalità “classiche” in favore dell’hype sull’AI.

Il trend è chiaro: VS Code sta diventando sempre più un ambiente agentic-first, dove gli strumenti AI non sono plugin aggiuntivi ma cittadini di prima classe dell’editor. Per chi lavora già con Copilot in modalità agente, questo aggiornamento è decisamente consigliato.

Fonte: Visual Studio Code 1.116 Release Notes

Visual Studio Code - The open source AI code editor | Your home for multi-agent development

Visual Studio Code redefines AI-powered coding with GitHub Copilot for building and debugging modern web and cloud applications. Visual Studio Code is free and available on your favorite platform - Linux, macOS, and Windows.

^{code.visualstudio.com}

(in)sicurezza digitale

2026-04-13 08:29:16

Attacco SCADA nel mirino: le APT iraniane prendono di mira i controllori Unitronics negli Stati Uniti

Si parla di:
Toggle

• Contesto dell’operazione e portata dell’attacco
• Metodologie di attacco e indicatori tecnici
• Indicatori di compromissione (IoCs)
• Impatto operativo e rischi
• Raccomandazioni di difesa

A partire da marzo 2026, attori APT affiliati all’Iran hanno intensificato le operazioni di cyberattacco contro l’infrastruttura critica statunitense, sfruttando direttamente le esposizioni di controllori programmabili (PLC) di Unitronics e Rockwell Automation online. Secondo un avviso congiunto pubblicato dal CISA, dall’FBI e dalla NSA l’aprile 2026, questi attacchi rappresentano una minaccia diretta ai sistemi di controllo industriale (SCADA/HMI) che gestiscono funzioni critiche nelle utilities idriche, nei sistemi energetici e nelle strutture governative.

La novità inquietante è che gli attaccanti non stanno sfruttando vulnerabilità zero-day o malware sofisticato: invece, stanno utilizzando il software legittimo Rockwell Automation Studio 5000 Logix Designer per accedere direttamente ai PLC esposti, modificare i file di progetto contenenti la logica ladder, e falsificare i dati visualizzati sulle interfacce HMI (Human-Machine Interface). Una tecnica che trasforma il software di ingegneria industriale in un vettore di attacco praticamente invisibile alle difese tradizionali.

Contesto dell’operazione e portata dell’attacco

Le operazioni di ricognizione hanno identificato almeno 75 dispositivi compromessi distribuiti tra settori critici statunitensi. Tuttavia, il dato più allarmante emerge dall’analisi della superficie d’attacco: Censys ha riportato che oltre 5.219 PLC Rockwell/Allen-Bradley sono attualmente esposti a Internet, creando un bersaglio potenziale massivo per le operazioni offensive iraniane.

Gli attori APT affiliati all’Iran stanno accedendo ai dispositivi utilizzando indirizzi IP forniti da provider di hosting di terze parti, presumibilmente per mascherare la loro origine geografica. Una volta all’interno, stabiliscono connessioni autenticate sfruttando le credenziali ottenute da precedenti ricognizioni o mediante attacchi di brute force contro interfacce web esposte.

L’FBI ha formalmente valutato che questa campagna è motivata da ritorsioni geopolitiche legate alle ostilità tra Stati Uniti, Israele e Iran. Le operazioni si sono intensificate in parallelo ai crescenti attriti regionali, suggerendo che le infrastrutture critiche americane sono state designate come obiettivi di rappresaglia informatica.

Metodologie di attacco e indicatori tecnici

Gli attaccanti mantengono persistenza attraverso la modifica diretta dei file di progetto .ACD (AutoCAD) che contengono la logica ladder, gli script di automazione e le configurazioni dei PLC. Modificando questi file prima di sincronizzarli con i controller, gli attori APT possono inserire comportamenti malevoli che verranno riprodotti ogni volta che il PLC viene alimentato o riavviato.

Le porte di accesso monitorate includono:

• Porta 44818 (Rockwell Automation native)
• Porta 2222 (SSH alternativo)
• Porta 102 (Siemens S7 protocol)
• Porta 22 (SSH standard)
• Porta 502 (Modbus TCP)

La molteplicità di protocolli suggerisce che gli attaccanti stanno sfruttando un’unica campagna per accedere a dispositivi di produttori diversi: non solo Rockwell Automation e Unitronics, ma potenzialmente anche controllori Siemens S7 e altri standard OT.

Una volta dentro, gli attori hanno estratto file di configurazione contenenti la logica intera dell’infrastruttura, fornendogli una roadmap completa dell’architettura di controllo. Inoltre, hanno modificato i valori visualizzati sulle interfacce HMI per mostrare false letture agli operatori umani, disaccoppiando quello che gli ingegneri vedono sugli schermi da quello che i PLC stanno effettivamente eseguendo.

Indicatori di compromissione (IoCs)

Sebbene il CISA non abbia pubblicato una lista completa di IoCs nella versione iniziale dell’avviso, gli indirizzi IP utilizzati dagli attaccanti includono range associati a provider di hosting europei. Le organizzazioni dovrebbero monitorare:

• Connessioni non autorizzate alle porte 44818, 2222, 102, 22, 502
• Modifiche inaspettate ai file .ACD e .L5K (Rockwell Automation project files)
• Accessi a Studio 5000 Logix Designer durante ore non-lavorative
• Alterazioni dei timestamp di accesso ai sistemi HMI/SCADA
• Estrazione massiva di file di progetto verso destinazioni esterne

Impatto operativo e rischi

Le organizzazioni vittime hanno segnalato varie forme di disruption:

• Interruzioni nei sistemi di trattamento delle acque
• Alterazioni nei parametri di controllo energetico
• Falsificazione dei dati storici di telemetria
• Potenziale esposizione di procedimenti critici a spilorcare/manipolazione

Una delle implicazioni più insidiose è che i PLC modificati continuano a funzionare apparentemente normalmente secondo le metriche di superficie, mentre la logica sottostante è stata completamente compromessa. Uno scenario di “perfect impersonation” che rende estremamente difficile rilevare l’attacco senza audit tecnici approfonditi della logica ladder.

Raccomandazioni di difesa

Le organizzazioni OT dovrebbero implementare immediatamente:

• Air-gapping e segmentazione: disconnettere fisicamente i PLC critici da qualsiasi rete esterna. Se la connettività remota è essenziale, implementare DMZ dedicate e controlli di accesso granulari.
• Protezione dell’accesso remoto: disabilitare gli accessi da Studio 5000 Logix Designer su connessioni remote non crittografate. Implementare VPN con autenticazione multi-fattore.
• Monitoraggio della logica ladder: implementare sistemi di versioning e change management per i file .ACD. Qualsiasi modifica deve essere confrontata con baseline storiche approvate.
• Honeypots e deception: distribuire controller PLC decoy connessi a Internet per rilevare e tracciare i tentativi di accesso malevoli.
• Incident response capability: istituire playbook di risposta per scenari di compromissione PLC.

L’adozione di queste contromisure è critica per le organizzazioni nei settori water, energy, government, e manufacturing. La sofisticazione dell’attacco non risiede nel malware o negli exploit, ma nella comprensione profonda degli ambienti OT e nella capacità di manipolare la realtà percepita dagli operatori umani.

Attacco SCADA nel mirino: le APT iraniane prendono di mira i controllori Unitronics negli Stati Uniti - (in)sicurezza digitale

A partire da marzo 2026, attori APT affiliati all'Iran hanno compromesso almeno 75 controllori programmabili Unitronics negli USA, utilizzando il software legittimo Studio 5000 Logix Designer per modificare la logica ladder e falsificare i dati HMI.

^{Dario Fadda ((in)sicurezza digitale)}

CrimethInc. Ex-Workers

2026-04-13 03:15:51

It's nice to see Viktor Orbán lose an election, despite support from Trump and Putin.

But until we address the extreme disparities in wealth and power that enabled nationalists to gain popularity, no mere election will suffice to stop fascism.

crimethinc.com/soundandfury

The outcome of the mid-term elections will be determined by what happens in the months ahead—not by how successfully politicians campaign, but rather by the extent to which grassroots resistance makes it impossible for the ruling class to imagine that Trump could continue to advance their interests.

In the long run, only profound social change can put an end to the cycle that has driven the growth of the far right. We must lay bare the connections between fascists, billionaires, militarists, Zionists and Christian nationalists, cryptocurrency hucksters, tech moguls, federal agencies like ICE and the police and sheriffs that abet them, and the centrists and Democrats who paved the way for the tragedies of the second Trump era by suppressing grassroots resistance at the conclusion of the first.

Ultimately, we must show how to defeat their program, not just vote against it.

The Sound and Fury of a Collapsing Order

As Donald Trump’s power wanes, opportunities will open up for social change. We explore the nature of the difficulties besetting his administration and propose how do to more than simply remove him.

^CrimethInc.