Microsoft ha rilasciato una mitigazione per YellowKey, una vulnerabilita zero day che consente il bypass di BitLocker ed e tracciata come CVE 2026 45585 con punteggio CVSS 6.8. Il problema e classificato come bypass di una funzionalita di sicurezza e riguarda diversi sistemi, tra cui Windows 11 nelle versioni 26H1 24H2 e 25H2 su architettura x64, oltre a Windows Server 2025 anche in installazione Server Core.

Nel panorama della cybersecurity di questa settimana emerge un filo conduttore chiaro: le intrusioni non dipendono sempre da tecniche clamorose, ma dall’abuso di ciò che consideriamo normale e affidabile: aggiornamenti, pacchetti software, strumenti cloud, account con privilegi e perfino chat di assistenza. Un semplice token esposto, un pacchetto malevolo inserito nella supply chain o una procedura di accesso aggirata con ingegneria sociale possono aprire la strada a compromissioni estese senza bisogno di malware tradizionale.

GitHub ha confermato una violazione che ha coinvolto i suoi repository interni a causa della compromissione di un dispositivo aziendale. Il punto critico non è stato un attacco diretto alla piattaforma, ma una classica minaccia di supply chain che ha sfruttato uno strumento molto usato dagli sviluppatori: una versione malevola dell’estensione Nx Console per Visual Studio Code.

Microsoft ha annunciato di aver interrotto un servizio di malware signing as a service che sfruttava il sistema Artifact Signing per distribuire codice malevolo firmato digitalmente e facilitare attacchi ransomware su larga scala. La campagna è stata attribuita a un attore chiamato Fox Tempest, attivo dal 2025, e l’operazione di contrasto è stata indicata come OpFauxSign.

Nel panorama delle minacce informatiche del 2025 e 2026, un gruppo di attacco associato alla Cina noto come Webworm si distingue per una evoluzione tecnica mirata alla massima discrezione. Le campagne osservate mostrano un passaggio dai classici backdoor completi verso strumenti più difficili da identificare, come proxy personalizzati e canali di comando e controllo che sfruttano servizi legittimi e diffusi.

L’operazione Ramz di Interpol ha segnato una svolta nella lotta al cybercrime in Medio Oriente e Nord Africa. Tra ottobre 2025 e febbraio 2026, un coordinamento senza precedenti tra 13 Paesi della regione MENA ha portato a 201 arresti e all’identificazione di altri 382 sospetti.

Una nuova ondata di attacchi alla supply chain software sta colpendo le dipendenze JavaScript pubblicate su npm, con un focus su pacchetti legati all’ecosistema AntV. In questo scenario, gli aggressori hanno sfruttato la compromissione di un account maintainer per distribuire versioni trojanizzate di librerie molto popolari, tra cui echarts-for-react, un wrapper React per Apache ECharts con circa 1,1 milioni di download settimanali.

GitHub ha avviato una indagine su un possibile accesso non autorizzato ai propri repository interni dopo che un attore di minaccia noto come TeamPCP ha pubblicato su un forum criminale un annuncio di vendita che riguarda presunto codice sorgente e organizzazioni interne. Secondo le informazioni diffuse, la quantita di dati coinvolta sarebbe nell ordine di circa 3800 4000 repository, un numero che risulta coerente con le verifiche in corso.

La settimana della cybersecurity si apre con un tema ricorrente che sta diventando sempre più evidente: la fiducia implicita nei componenti software e nei canali di distribuzione è un punto debole strutturale. Un singolo pacchetto compromesso o una chiave esposta possono trasformarsi rapidamente in accesso al cloud e poi in incidente in produzione.

La sicurezza della supply chain su npm torna al centro dell’attenzione dopo la scoperta di quattro pacchetti malevoli progettati per distribuire infostealer e un malware DDoS chiamato Phantom Bot. I pacchetti, diffusi tramite tecniche di typosquatting e nomi molto simili a librerie legittime, hanno totalizzato migliaia di download e mostrano come un singolo attore possa combinare più catene di infezione per colpire sviluppatori e ambienti di build.