Threat Advisories

GitHub ha confermato l'accesso non autorizzato e l'esfiltrazione di circa 3.800 dei suoi repository di sviluppo interni. La violazione è stata orchestrata dal gruppo di criminali informatici finanziariamente motivatiTeamPCP, che ha sfruttato un'estensione troianizzata di Microsoft Visual Studio Code (VS Code) installata sul dispositivo di un dipendente privilegiato.

L'aggiornamento KB5087544 del Patch Tuesday di maggio 2026 di Microsoft per Windows 10 riflette la realtà attuale della piattaforma. Ormai entrato stabilmente nella fase degli Aggiornamenti di sicurezza estesi, Windows 10 non si evolve più attraverso le funzionalità, ma viene ancora protetto e mantenuto attivamente. Questo aggiornamento combina un'ampia serie di correzioni di vulnerabilità con modifiche mirate a Desktop remoto e Secure Boot che rivelano come Microsoft stia rafforzando il controllo sulla fiducia e sulla stabilità degli endpoint.

Fortinet ha reso note due vulnerabilità critiche che riguardano FortiSandbox e FortiAuthenticator e che potrebbero consentire l'esecuzione di codice remoto (RCE) non autenticato sui sistemi esposti.

Trellix ha annunciato che è stato effettuato un accesso non autorizzato al codice sorgente interno di alcune parti del suo portafoglio prodotti. Il materiale interessato riguarda solo il codice di sviluppo dei prodotti e non include ambienti o dati dei clienti. Non vi sono indicazioni di modifiche dolose agli artefatti software rilasciati.

CVE 2026 31431, comunemente nota come "Copy Fail", è una vulnerabilità locale di elevata gravità per l'escalation dei privilegi che interessa il kernel Linux. Il problema riguarda i kernel distribuiti da tutte le principali distribuzioni Linux dal 2017 e consente a un utente locale non privilegiato di ottenere l'esecuzione a livello di root sul sistema host.

Alla fine di marzo 2026, un attore minaccioso che opera sotto lo pseudonimo di "The_Auditors" ha affermato di aver violato BlackLine Systems, un fornitore di software di automazione finanziaria e contabilità con sede negli Stati Uniti. L'aggressore sostiene l'esfiltrazione di circa 354 GB di documenti finanziari e operativi sensibili, per un totale di oltre 1,5 milioni di record appartenenti non solo a BlackLine, ma anche ai suoi clienti aziendali. Al momento in cui scriviamo, BlackLine non ha confermato pubblicamente la violazione e le affermazioni non sono state verificate. Tuttavia, diverse società di intelligence sulla cybersicurezza hanno valutato le accuse come credibili sulla base di diversi indicatori.

È stato osservato un nuovo attacco attivo alla supply-chain di npm che abusa di credenziali di manutentori compromesse per auto-propagare codice dannoso tra i pacchetti dell'ecosistema Node.js. Il malware ruba il materiale di autenticazione (token npm, credenziali cloud, segreti CI/CD, chiavi SSH e dati del portafoglio) e utilizza i token di pubblicazione scoperti per iniettarsi in altri pacchetti di proprietà dello stesso manutentore, creando una diffusione laterale simile a un worm.

La U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha confermato lo sfruttamento attivo di una vulnerabilità ad alta gravità per l'esecuzione di codice remoto (RCE) in Apache ActiveMQ Classic, segnalata come CVE-2026-34197. La falla è stata aggiunta al catalogo delle vulnerabilità sfruttate (Known Exploited Vulnerabilities, KEV) del CISA, segnalando un'attività dannosa verificata in natura ed elevando la priorità di rimedio per tutte le organizzazioni che utilizzano le versioni interessate di ActiveMQ.

Microsoft Exchange Server rimane unobiettivodi alto valoreper gli attori delle minacce a causa della sua profonda integrazione con i sistemi di identità aziendali, l'infrastruttura di posta elettronica e gli account di servizio privilegiati. Le vulnerabilità RCE (Remote Code Execution) di Exchange sono state storicamente sfruttate percampagne di spionaggiosu largascala, distribuzione di ransomware e operazioni di accesso persistente.

Google ha rilasciato aggiornamenti di sicurezza di emergenza che risolvono CVE20265281, un giorno zero di gravità elevata (punteggio CVSS: N/A), attivamente sfruttato, che ha un impatto sul browser Chrome.