CYBERBRIEFING — Lunedì 1 giugno 2026
Edizione MATTINA
🔴 IN PRIMO PIANO
Sorgenia colpita: 300.000 clienti italiani a rischio in un presunto data breach
Un attore del dark web afferma di aver sottratto e messo in vendita i dati di oltre 300.000 clienti di Sorgenia, uno dei principali fornitori di energia in Italia. Secondo quanto riportato, il dump includerebbe dati anagrafici e informazioni contrattuali. Sebbene la notizia non sia ancora stata confermata ufficialmente dall’azienda, i clienti Sorgenia sono invitati a monitorare eventuali comunicazioni sospette e a verificare le proprie credenziali di accesso all’area clienti.
📰 LE NOTIZIE DI OGGI
1. Zero-day LiteSpeed cPanel sotto attacco attivo: accesso root sui server di hosting
Una vulnerabilità critica nel plugin LiteSpeed per cPanel è attualmente sfruttata attivamente da attori malevoli per ottenere accesso root su server di hosting condiviso. La falla consente l’escalation di privilegi senza autenticazione. Chi gestisce server web con cPanel e il plugin LiteSpeed deve aggiornare immediatamente all’ultima versione disponibile.
2. Falsi installer di Gemini CLI e Claude Code distribuiscono malware sofisticato
Una campagna malware attiva prende di mira gli sviluppatori con falsi pacchetti di installazione che si spacciano per i tool ufficiali Gemini CLI (Google) e Claude Code (Anthropic). Una volta installati, i pacchetti compromettono il sistema dello sviluppatore e possono esfiltrare credenziali, chiavi API e codice sorgente. Chi lavora con strumenti AI da riga di comando deve verificare di scaricare solo da fonti ufficiali.
3. Attacco supply chain Laravel: centinaia di pacchetti PHP infettati da malware ruba-credenziali
Un attacco massivo alla supply chain ha infettato centinaia di pacchetti PHP nell’ecosistema Laravel con malware avanzato in grado di sottrarre credenziali di accesso. L’attacco si propaga attraverso dipendenze apparentemente legittime. Chiunque usi Laravel o pacchetti PHP open source dovrebbe verificare i propri file di composizione e aggiornare le dipendenze da fonti verificate.
4. CISA allerta: falla SQL injection in Drupal sfruttata in 65 paesi
La CISA (agenzia USA per la cybersecurity) ha emesso un avviso urgente riguardo a una vulnerabilità critica di SQL injection in Drupal, attivamente sfruttata in almeno 65 paesi. La falla permette a un attaccante remoto di accedere e modificare il database del sito. Chi gestisce siti Drupal deve applicare le patch di sicurezza rilasciate immediatamente.
5. ShinyHunters rivendica 42 milioni di record sottratti a Charter Communications
Il noto gruppo criminale ShinyHunters afferma di aver violato Charter Communications, uno dei principali provider di telecomunicazioni USA, esfiltrando 42 milioni di record di clienti. I dati includerebbero nomi, indirizzi, numeri di telefono e informazioni di account. Il gruppo sta cercando di monetizzare il dump sul dark web.
6. Webworm, gruppo sponsorizzato dalla Cina, espande lo spionaggio in Europa via Discord e Microsoft Graph
Il gruppo APT Webworm, collegato alla Cina, ha esteso le proprie operazioni di cyber-spionaggio all’Europa, sfruttando piattaforme legittime come Discord e Microsoft Graph API come canali di comando e controllo. La tecnica rende il traffico malevolo difficile da distinguere da quello normale. Aziende e istituzioni europee sono invitate a rafforzare il monitoraggio delle comunicazioni verso queste piattaforme.
7. SayDigital Italia: presunta violazione del codice sorgente Odoo ERP espone la supply chain italiana
Un attore del dark web sostiene di essere in possesso del codice sorgente dell’installazione Odoo ERP di SayDigital, azienda italiana, mettendolo in vendita online. Se confermata, la violazione potrebbe esporre vulnerabilità nell’infrastruttura ERP di clienti italiani che utilizzano questa soluzione. Un secondo caso italiano nella stessa giornata che evidenzia come le PMI italiane siano sempre più nel mirino dei criminali informatici.
🛡️ CONSIGLIO DEL GIORNO
Con due presunte violazioni che coinvolgono aziende italiane nella stessa giornata, è il momento giusto per fare una revisione delle proprie password: usa un password manager, abilita l’autenticazione a due fattori su tutti i servizi critici (energia, banca, email) e controlla periodicamente il tuo indirizzo email su haveibeenpwned.com per sapere se sei stato coinvolto in un breach.
Cyberbriefing Mattutino è una newsletter indipendente di cybersecurity in italiano.
🔔 Segui tutto il network su dariofadda.it — CVE News • HackMonitor • Cyber Intelligence
🔗 Fonti: BleepingComputer • Dark Reading • Infosecurity Magazine • x.com UndercodeNews, ThreatMon, GitHub Blog, Zee News, CNN, SamMobile
📡 Aggiornamenti quotidiani