CYBERBRIEFING — Domenica 24 maggio 2026
Edizione MATTINA
🔴 IN PRIMO PIANO
Megalodon: 5.500 repository GitHub compromesse in 6 ore
Il 18 maggio 2026 è stato scoperto uno degli attacchi alla supply chain software più massicci mai registrati su GitHub. Battezzato “Megalodon”, il campaign ha iniettato workflow GitHub Actions malevoli in oltre 5.500 repository pubblici nel giro di sei ore, esfiltrando segreti CI/CD, credenziali cloud, chiavi SSH e token OIDC verso un server di comando e controllo. Al 21 maggio risultano già rubati oltre 449 GB di dati da 575.000 file. L’attacco è partito da account usa e getta che imitavano bot automatici (es. “ci-bot”, “build-bot”), ingannando gli sviluppatori.
Chiunque usi GitHub Actions dovrebbe verificare immediatamente i propri workflow e ruotare tutti i secret esposti.
🔗 Cybernews | StepSecurity
📰 LE NOTIZIE DI OGGI
1. Uffizi: torna l’allarme dopo il ransomware da 300.000 euro
La notizia dell’attacco informatico alle Gallerie degli Uffizi di Firenze — avvenuto tra gennaio e febbraio 2026 — continua a fare notizia. Circa 20 macchine della rete museale sono risultate compromesse e rubati i piani di sicurezza e i codici d’allarme. Gli hacker hanno richiesto un riscatto di 300.000 euro; la direzione del museo ha dichiarato che non è stato commesso alcun furto d’opere né causato danno, ma l’episodio ha spinto le autorità a chiudere preventivamente un’ala di Palazzo Pitti. Indaga la Procura di Firenze con la Polizia Postale e l’ACN.
🔗 ANSA
2. Attenzione al codice monouso Microsoft che non hai richiesto
È in corso in Italia una campagna di phishing che sfrutta la cosiddetta tecnica dell’”MFA bombing”: le vittime ricevono email ufficiali di Microsoft con un codice di accesso monouso che non hanno mai richiesto. L’obiettivo è indurre l’utente a inserire il codice su una pagina di login fasulla, cedendo così l’accesso all’account. La campagna ha colpito oltre 35.000 utenti in 26 paesi e più di 13.000 organizzazioni. Se ricevi un’email del genere senza aver fatto nessuna richiesta, ignorala e non cliccare nulla: qualcuno sta tentando di entrare nel tuo account.
🔗 CheckBlackList | Nextme.it
3. Trump Mobile: dati personali dei clienti esposti online
Ancora prima di decollare sul mercato, il nuovo operatore telefonico americano Trump Mobile ha già un problema di sicurezza: i dati personali di tutti i clienti che hanno effettuato un abbonamento con nome, indirizzi email, numeri di telefono e indirizzi fisici — sono stati esposti online attraversouna falla nel sito web. L’azienda ha confermato l’incidente, attribuendolo a una piattaforma di terze parti. Non sarebbero stati esposti dati finanziari, ma il caso ha già sollevato aspre critiche sull’affidabilità del servizio.
🔗 TechCrunch
4. Dark web: dati KYC di Stake e BCGame in vendita
Un threat actor sul dark web afferma di essere in possesso di dati KYC (Know Your Customer) sottratti da Stake, BCGame e altre piattaforme di gioco d’azzardo online. Si tratta di documenti d’identità, passaporti e selfie di verifica identità inviati dagli utenti in fase di registrazione — materiale particolarmente sensibile e appetibile per furti d’identità. Le piattaforme non hanno ancora rilasciato dichiarazioni ufficiali.
🔗 UnderCodeNews
5. Binance UK: dati utenti in vendita nei forum underground
Un attore malevolo sta vendendo su forum del dark web quelli che afferma essere dati di lead di utenti di Binance UK — uno dei più grandi exchange di criptovalute al mondo. Il tipo di informazioni (nomi, email, numeri di telefono) rende questi dati ideali per campagne di phishing e truffe di social engineering mirate agli investitori in cripto. Non è ancora stato verificato se le informazioni siano autentiche o quanto recenti.
🔗 UnderCodeNews
6. LaravelLang: un aggiornamento Composer che ruba credenziali
I ricercatori hanno scoperto un attacco alla supply chain PHP che ha trasformato il pacchetto open-source LaravelLang — un modulo traduzione diffusissimo in ambiente Laravel — in un vettore per malware che ruba credenziali. Chiunque abbia eseguito aggiornamenti tramite Composer nelle ultime settimane potrebbe essere stato esposto. Chi gestisce applicazioni web in PHP/Laravel dovrebbe verificare le versioni installate e controllare eventuali anomalie.
🔗 UnderCodeNews
7. L’Italia ha un nuovo capo per la cybersicurezza nazionale
Andrea Quacivi è il nuovo direttore dell’Agenzia per la Cybersicurezza Nazionale (ACN), che subentra a Bruno Frattasi. Quacivi proviene dal mondo delle telecomunicazioni e della sicurezza pubblica. Il cambio avviene in un momento delicato: l’Italia registra un aumento degli attacchi informatici contro infrastrutture critiche e istituzioni culturali, come dimostra il caso Uffizi.
🔗 Startmag
🛡 CONSIGLIO DEL GIORNO
Se usi GitHub, controlla subito i tuoi workflow Actions. Dopo l’attacco Megalodon, verifica che nei file .github/workflows/ non siano presenti script sospetti o recenti modifiche non autorizzate. Se trovi qualcosa di strano, revoca e rigenera immediatamente tutti i secret del repository (token API, chiavi SSH, credenziali cloud). Per i progetti aziendali, considera di abilitare le regole di branch protection per bloccare commit non firmati.