Development & Open Source
Sviluppo software e open source segue supply chain, dipendenze, tooling, repository e sicurezza del codice. Il cluster evidenzia vulnerabilità, aggiornamenti e pratiche utili per sviluppatori e maintainer.
CVE-2026-31431 attivo, CISA: patch container entro 15 maggio
La CISA conferma lo sfruttamento attivo di CVE-2026-31431: PoC da 732 byte, rischio breakout per i container Linux e deadline federale…
BRICKSTORM: backdoor Rust su vSphere, CISA e NSA aggiornano
BRICKSTORM, nuova variante Rust per vSphere: CISA, NSA e Cyber Centre hanno aggiornato l'11 febbraio 2026 il Malware Analysis Report c…
Pacchetti sleeper multi-ecosistema svuotano le pipeline CI
Almeno due campagne hanno piazzato pacchetti malevoli su RubyGems, npm e Go per rubare credenziali, alterare GitHub Actions e persiste…
Linux Copy Fail: CISA impone patch entro il 15 maggio
CISA inserisce CVE-2026-31431 nel catalogo KEV: sfruttamento attivo. Exploit Python di 732 byte per root su Linux dal 2017, zero tracc…
Attacco supply chain Ruby e Go: scopri il rischio sleeper
Un nuovo attacco supply chain colpisce Ruby e Go sfruttando pacchetti sleeper e wrapper falsi. Scopri come proteggere le pipeline CI/C…
Attacco PyTorch Lightning: rischio supply chain rivelato
Scopri i dettagli dell'attacco supply chain a PyTorch Lightning: versioni malevole, propagazione npm e impersonificazione AI. Ecco cos…
Rischio Copy Fail Linux: l'exploit root invisibile in 4 byte
La vulnerabilità Copy Fail su Linux permette escalation root in 4 byte, corrompendo solo la RAM. Scopri l'impatto su Kubernetes e come…
Vulnerabilità RCE Qinglong: rivelato bypass Express.js
Scoperto bypass autenticazione RCE in Qinglong: ecco come la differenza di routing in Express.js ha permesso l'attacco e perché il fil…
Attacco supply chain npm SAP: malware colpisce pacchetti CAP
Nuova campagna Mini Shai-Hulud compromette pacchetti npm SAP. Furto credenziali, persistenza su agenti AI: ecco cosa sapere e come pro…
Supply chain attack npm: malware colpisce Claude Code e VS Code
Un nuovo attacco supply chain su pacchetti npm SAP colpisce configurazioni di AI coding agent. Scopri come mini Shai-Hulud ruba creden…
Malware PromptMink: primo commit malevolo co-autorato da Claude Opus
La campagna attribuita a Famous Chollima segna un primo caso di commit firmato da un modello AI. Oltre 1.700 pacchetti coinvolti.
Violazione Vercel: il rischio Shadow AI OAuth svelato
La violazione Vercel rivela il pericolo delle Shadow AI integration: come un token OAuth dimenticato ha aperto le porte aziendali. Ecc…