CYBERBRIEFING — Martedì 26 maggio 2026
Edizione MATTINA
🔴 IN PRIMO PIANO
GitHub violato tramite un’estensione VS Code avvelenata
GitHub ha confermato ufficialmente che la violazione dei suoi repository interni è avvenuta tramite una versione compromessa dell’estensione Nx Console per Visual Studio Code. Il gruppo criminale TeamPCP ha sfruttato il dispositivo di uno sviluppatore infettato per esfiltrare circa 3.800 repository privati. L’attacco è parte della più ampia campagna Mini Shai-Hulud, che ha colpito anche OpenAI, Mistral AI e Grafana Labs. GitHub ha dichiarato di aver contenuto l’incidente e ruotato i segreti critici, ma l’episodio evidenzia come la supply chain degli sviluppatori sia diventata il vettore d’attacco preferito dai criminali informatici.
📰 LE NOTIZIE DI OGGI
1. Gallerie degli Uffizi sotto attacco hacker — nessun danno
Le Gallerie degli Uffizi di Firenze sono state prese di mira da un attacco informatico. Il museo ha rassicurato il pubblico: non sono stati compiuti danni né effettuati furti di dati. L’episodio riaccende il dibattito sulla protezione delle infrastrutture culturali italiane, già nel mirino di gruppi hacktivisti negli ultimi mesi.
2. Microsoft Defender: due zero-day attivamente sfruttati
Microsoft ha avvertito di due vulnerabilità in Microsoft Defender già sfruttate attivamente: CVE-2026-41091 permette di ottenere privilegi SYSTEM su sistemi Windows, mentre CVE-2026-45498 provoca un denial-of-service. Le due falle corrispondono ai zero-day “RedSun” e “UnDefend” divulgati mese scorso dal ricercatore Chaotic Eclipse. Aggiornare Windows immediatamente.
3. Ghost CMS: oltre 700 siti dirottati per attacchi ClickFix
Una vulnerabilità critica nel popolare CMS Ghost (CVE-2026-26980) è stata sfruttata per compromettere oltre 700 siti web, trasformandoli in piattaforme per attacchi ClickFix: tecniche di social engineering che inducono gli utenti a eseguire comandi malevoli fingendosi aggiornamenti o verifiche CAPTCHA. Chi gestisce un sito Ghost deve applicare la patch con urgenza.
4. TrapDoor: attacco alla supply chain colpisce npm, PyPI e Crates.io
Una campagna battezzata TrapDoor ha infettato oltre 34 pacchetti malevoli distribuiti in più di 384 versioni sugli ecosistemi npm, PyPI e Crates.io. Il malware prende di mira sviluppatori nel settore crypto, DeFi, Solana e AI, rubando credenziali, wallet crypto, chiavi SSH, token AWS/GitHub e dati del browser. La campagna è attiva dal 22 maggio 2026. Chi lavora su questi stack deve verificare le proprie dipendenze.
5. Lazarus Group distribuisce nuovo RAT invisibile contro banche e crypto
Il gruppo nordcoreano Lazarus ha messo in campo un nuovo strumento chiamato RemotePE, un RAT (Remote Access Trojan) che opera esclusivamente in memoria RAM senza scrivere file su disco, rendendo estremamente difficile il rilevamento. Il target sono aziende finanziarie e piattaforme di criptovalute. L’operazione conferma la tendenza di Lazarus a evolversi rapidamente per eludere i sistemi di sicurezza tradizionali.
6. “American Patriot”: un hacker russo da solo ha truffato 17.000 persone con l’AI
Un singolo hacker russo, soprannominato American Patriot, ha usato Google Gemini per costruire e orchestrare una massiccia campagna di disinformazione contro il mondo MAGA negli USA, ingannando circa 17.000 persone. Il caso è emblematico dell’uso dell’intelligenza artificiale per amplificare operazioni di influenza su larga scala da parte di un singolo individuo.
7. Linux kernel: falla di 9 anni consente accesso root (CVE-2026-46333)
Scoperta una vulnerabilità nel kernel Linux rimasta nascosta per nove anni, dal novembre 2016. La falla (CVE-2026-46333, CVSS 5.5) permette a un utente locale non privilegiato di leggere file sensibili ed eseguire comandi come root su installazioni default di Debian, Fedora e Ubuntu. È importante verificare la disponibilità di aggiornamenti per i propri sistemi Linux.
🛡️ CONSIGLIO DEL GIORNO
Attenzione alle estensioni del tuo editor di codice. Il caso GitHub/Nx Console dimostra che anche strumenti apparentemente fidati possono essere compromessi. Prima di installare o aggiornare un’estensione per VS Code (o qualsiasi IDE), verifica il numero di download, le recensioni recenti e la fonte ufficiale. In caso di dubbio, controlla il changelog delle versioni recenti.
Cyberbriefing Mattutino è una newsletter indipendente di cybersecurity in italiano.
🔔 Segui tutto il network su dariofadda.it — CVE News • HackMonitor • Cyber Intelligence
🔗 Fonti: BleepingComputer • Dark Reading • Infosecurity Magazine • x.com UndercodeNews, ThreatMon, GitHub Blog, Zee News, CNN, SamMobile
📡 Aggiornamenti quotidiani