CYBERBRIEFING — Mercoledì 27 maggio 2026
Edizione MATTINA
🔴 IN PRIMO PIANO
GitHub violato: 3.800+ repository interni esfiltrati tramite estensione VS Code malevola
GitHub ha confermato una violazione dei propri sistemi interni: un dipendente ha installato un’estensione malevola di Visual Studio Code (la Nx Console compromessa), che ha permesso agli attaccanti del gruppo TeamPCP di esfiltrare oltre 3.800 repository interni, inclusi codice sorgente di GitHub Actions, Copilot, CodeQL e Dependabot. Il gruppo cybercriminale, in coalizione con il famigerato LAPSUS$, ha messo in vendita i dati per 95.000 dollari su un forum underground, minacciando di pubblicarli gratuitamente se non trovasse acquirenti. GitHub ha ruotato le credenziali critiche e assicura che i dati dei clienti esterni non sono stati compromessi — ma l’incidente evidenzia quanto anche i colossi tech siano vulnerabili agli attacchi alla supply chain degli sviluppatori.
📰 LE NOTIZIE DI OGGI
1. Il worm Mini Shai-Hulud continua a diffondersi: colpiti pacchetti PyPI di Microsoft, TanStack e Mistral AI
Lo stesso gruppo TeamPCP ha rilasciato un worm auto-replicante che si propaga attraverso pacchetti Python compromessi su PyPI. L’ultimo colpito è durabletask, il client Python ufficiale di Microsoft, nelle versioni 1.4.1–1.4.3: il malware ruba credenziali cloud (AWS, Azure), svuota vault di password (1Password, Bitwarden) e si propaga automaticamente ad altri server EC2 o pod Kubernetes. Chiunque abbia installato queste versioni deve considerare la macchina interamente compromessa. Il pacchetto veniva scaricato circa 417.000 volte al mese.
2. CVE-2026-42897: vulnerabilità Microsoft Exchange attivamente sfruttata tramite email
Microsoft ha confermato lo sfruttamento attivo di una falla XSS (Cross-Site Scripting) nei server Exchange on-premise — versioni 2016, 2019 e Subscription Edition. L’attaccante può inviare una email appositamente costruita che, aperta in Outlook Web Access, esegue codice JavaScript arbitrario nel browser della vittima. La CISA americana ha imposto alle agenzie federali di applicare le mitigazioni entro il 29 maggio. Chi gestisce Exchange on-premise deve agire immediatamente tramite l’Exchange Emergency Mitigation Service (EEMS) già integrato.
3. Ransomware ShinyHunters colpisce Instructure (Canvas): 275 milioni di studenti e docenti a rischio
Il gruppo ransomware ShinyHunters ha attaccato Instructure, la società americana che gestisce la piattaforma didattica Canvas — usata da circa 9.000 istituti scolastici nel mondo. I dati sottratti ammontano a 3,65 TB e includono informazioni personali di 275 milioni di persone tra studenti, insegnanti e personale. L’attacco è uno dei data breach in ambito education più grandi della storia. Se la vostra scuola o università usa Canvas, è consigliabile cambiare password e monitorare eventuali comunicazioni ufficiali dall’ente.
4. Attacco alla PA italiana: Sistemi Informativi (IBM) nel mirino, indaga l’Antiterrorismo
Il 3 maggio 2026 un attacco informatico ha colpito Sistemi Informativi, società del gruppo IBM che fornisce servizi digitali alla Pubblica Amministrazione italiana. L’antiterrorismo di Roma ha aperto un’indagine. Si sospetta un gruppo di spionaggio sofisticato, inizialmente ipotizzato legato alla crew cinese Salt Typhoon, anche se IBM esclude questa attribuzione diretta. IBM ha dichiarato che nessun dato di clienti della PA è stato compromesso. L’episodio si inserisce nel quadro allarmante del Rapporto Clusit 2026, che certifica un +42% di attacchi gravi contro organizzazioni italiane nel 2025.
5. Hacker usano simboli di testo Unicode per creare QR code malevoli invisibili agli scanner
Ricercatori di sicurezza hanno scoperto una nuova tecnica di attacco: i cybercriminali assemblano QR code dannosi usando caratteri Unicode e simboli di testo invece dei tradizionali pixel neri su sfondo bianco. Questo approccio inganna molti strumenti di rilevamento automatico che non riconoscono tali pattern come QR code. La scansione con uno smartphone però funziona normalmente, portando l’utente su siti di phishing o scaricando malware. Attenzione ai QR code in luoghi pubblici, email e volantini.
6. Zero-day Windows: bypass di BitLocker e privilege escalation via CTFMON su sistemi completamente aggiornati
Sono state pubblicamente divulgate due zero-day per Windows che colpiscono anche i sistemi completamente patchati. La prima consente di aggirare la protezione BitLocker (CVE-2026-45585), rendendo accessibili dati cifrati su disco. La seconda sfrutta il processo CTFMON.exe per scalare i privilegi fino a SYSTEM. Microsoft ha rilasciato una mitigazione per BitLocker, ma non ancora una patch definitiva. Entrambe le vulnerabilità sono di alto profilo e potrebbero essere sfruttate in combinazione con ransomware o accessi fisici al dispositivo.
7. Cisco Catalyst SD-WAN: bypass dell’autenticazione sfruttato attivamente per ottenere accesso amministrativo
Una vulnerabilità critica nel Cisco Catalyst SD-WAN Controller viene attivamente sfruttata per ottenere accesso amministrativo completo senza credenziali. Il problema interessa molte aziende e service provider che usano soluzioni SD-WAN Cisco per gestire reti distribuite. Cisco ha rilasciato aggiornamenti correttivi: chi non ha ancora applicato le patch è fortemente esposto. Si tratta di un bersaglio privilegiato per attori che puntano all’infrastruttura di rete aziendale come vettore per movimenti laterali.
🛡️ CONSIGLIO DEL GIORNO
Sviluppatori, attenzione alle estensioni del vostro IDE. Il caso GitHub dimostra che un’estensione malevola di VS Code è sufficiente a compromettere l’intera workstation e da lì interi repository aziendali. Prima di installare un’estensione, verificate l’editore, il numero di download e le recensioni recenti. Considerate di usare un profilo VS Code separato per i progetti aziendali più sensibili, con solo le estensioni strettamente necessarie.
Cyberbriefing Mattutino è una newsletter indipendente di cybersecurity in italiano.
🔔 Segui tutto il network su dariofadda.it — CVE News • HackMonitor • Cyber Intelligence
🔗 Fonti: BleepingComputer • Dark Reading • Infosecurity Magazine • x.com UndercodeNews, ThreatMon, GitHub Blog, Zee News, CNN, SamMobile
📡 Aggiornamenti quotidiani