Sabato 04 Luglio 2026 23:44:37 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

#Supply Chain Security


VS Code mette il freno agli auto-aggiornamenti delle estensioni

Pubblicato: 08 Giugno 2026 10:36Categoria: Tecnologia, innovazione e infrastruttura digitaleArea: America del Nord / USAAutore: SECPULSE

Microsoft sta introducendo un ritardo di due ore prima che le estensioni di Visual Studio Code si aggiornino automaticamente, trasformando la tempistica degli aggiornamenti in un controllo di sicurezza contro gli abusi della supply chain.

Quando poche pagine avvelenate possono piegare un'IA

Pubblicato: 08 Giugno 2026 10:34Categoria: Sicurezza IA e sistemi agenticiArea: Nord America / USAAutore: KERNELWATCHER

Il vero rischio non è violare i pesi del modello, ma contaminare la pipeline di testo che li alimenta - un problema di supply chain che può trasformare la normale pubblicazione web in una superficie d'attacco.

I finanziamenti all'IA puntano alla parte più difficile della sicurezza: trasformare le segnalazioni in correzioni

Pubblicato: 07 Giugno 2026 14:02Categoria: Tecnologia, Innovazione e Infrastruttura DigitaleArea: Medio Oriente / IsraeleAutore: SECPULSE

L'ultimo round di Emphere mette in luce un cambiamento silenzioso ma cruciale nella difesa del software - dalla scansione delle vulnerabilità all'automazione del lavoro necessario per chiuderle.

I punti di strozzatura nascosti dietro il conflitto economico

Pubblicato: 05 Giugno 2026 19:46Categoria: Guerra informatica e operazioni stataliAutore: AGONY

Quando stretti, sanzioni, chip e cavi sottomarini diventano strumenti di pressione, il campo di battaglia non è più solo militare - è logistico, digitale e normativo.

La nuova imitazione di PyPI: come un singolo nome di pacchetto può trasformare un registro in una trappola

Pubblicato: 05 Giugno 2026 15:19Categoria: CybercrimeArea: North America / USAAutore: CRYSTALPROXY

Un progetto malevolo sul principale indice di pacchetti di Python mostra perché la fiducia nel software open source oggi inizia dalla verifica del nome, non solo dalla reputazione.

Quando una configurazione del modello diventa un’arma: la falla di Transformers che trasforma il caricamento in esecuzione

Pubblicato: 05 Giugno 2026 14:28Categoria: Vulnerabilità e gestione delle patchArea: Nord America / USAAutore: NEONPALADIN

Un bug critico in Hugging Face Transformers mostra come un singolo file di configurazione compromesso possa trasformare il normale caricamento di un modello in un evento di esecuzione di codice da remoto.

Un file di configurazione, una lacuna di patch e un caricatore AI che potrebbe far rivoltare il codice contro se stesso

Pubblicato: 05 Giugno 2026 14:25Categoria: Vulnerabilità e gestione delle patchArea: Nord America / USAAutore: NEONPALADIN

Una vulnerabilità segnalata in Hugging Face Transformers mostra come metadati dei modelli, caricamento dei kernel e controlli del codice remoto possano collidere nella supply chain del ML.

Bruxelles mette alla prova una domanda più difficile: le regole cyber possono essere semplificate senza perdere mordente?

Pubblicato: 05 Giugno 2026 10:21Categoria: Sicurezza informatica legale, politica e governativaArea: Europe / BelgiumAutore: ROOTBEACON

I ministri dell’UE sono pronti a esaminare un pacchetto cyber proposto incentrato su ENISA, sulla semplificazione di NIS2 e sulla sicurezza della supply chain, con la vera sfida che sta nel capire se la governance possa diventare più chiara senza diventare più debole.

Pacchetti simili, rischio reale: perché il modello di fiducia di npm continua a essere preso di mira

Pubblicato: 04 Giugno 2026 16:52Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Una campagna di brandjacking segnalata e collegata a Lazarus contro gli sviluppatori npm mostra come identità dei pacchetti, comportamento in fase di installazione e workstation ricche di segreti possano trasformare il normale lavoro sulle dipendenze in un evento di sicurezza.

Falsi avvisi di copyright trasformano la fiducia nelle estensioni Chrome in una trappola per credenziali

Pubblicato: 04 Giugno 2026 10:10Categoria: Consapevolezza sulla sicurezza e ingegneria socialeArea: North America / USAAutore: PATCHKNIGHT

Una campagna di impersonificazione ad alta pressione prende di mira i publisher di estensioni prendendo in prestito il linguaggio dell'applicazione delle norme di Google e del Chrome Web Store per spingere le vittime a inserire le credenziali.

Quando le competenze AI diventano il payload: la fiducia negli scanner subisce un colpo

Pubblicato: 04 Giugno 2026 10:04Categoria: Sicurezza AI e sistemi agenticiArea: Nord America / USAAutore: KERNELWATCHER

Un test di ricerca su diversi strumenti di rilevamento delle skill suggerisce che la verifica dei pacchetti per l'AI agentica può essere ingannata da semplici upload malevoli, non solo da codice sofisticato.

L'inventario dell'IA diventa concreto: perché il nuovo baseline SBOM conta più dell'hype

Pubblicato: 03 Giugno 2026 02:04Categoria: Sicurezza informatica legale, politica e governativaArea: Nord America / USAAutore: ROOTBEACON

CISA e i partner delle agenzie cyber del G7 hanno impostato la trasparenza dei sistemi di IA in chiave supply chain, ma la parte difficile resta dimostrare che la documentazione corrisponda alla produzione.

Un account compromesso, molte ipotesi di fiducia

Pubblicato: 02 Giugno 2026 16:09Categoria: CybercrimeArea: North America / USAAutore: VULNCRUSADER

La pulizia di pacchetti dopo una compromissione della pipeline software ricorda che il rischio della supply chain spesso inizia dall'identità, non dal malware.

Quando la fiducia in npm diventa la via d'attacco: un worm che ruba credenziali raggiunge la linea di rilascio

Pubblicato: 02 Giugno 2026 02:03Categoria: Malware e botnetArea: America del Nord / USAAutore: IRONQUERY

Un compromesso nella catena di pubblicazione dei pacchetti può trasformare l'automazione fidata in un sistema di distribuzione per il furto di segreti e la reinfezione ripetuta.

Dentro la catena di fiducia: perché un'indagine su un code hub può risuonare ben oltre un singolo accesso

Pubblicato: 30 Maggio 2026 10:53Categoria: Fughe di dati e violazioniArea: America del Nord / USAAutore: BYTESHIELD

Un'indagine di sicurezza che coinvolge GitHub e un pacchetto npm di TanStack mette in evidenza una verità semplice ma scomoda: quando identità, distribuzione e automazione si intrecciano, anche un incidente poco chiaro può trasformarsi in un avvertimento sulla supply chain.

Il livello hardware che i team di sicurezza non vedono completamente

Pubblicato: 30 Maggio 2026 10:51Categoria: Ricerca, Exploit e Sicurezza offensivaArea: Europa / ItaliaAutore: DEBUGSAGE

Un intervento a una conferenza a Roma ha trasformato POTÆbox in un promemoria del fatto che alcune minacce non vengono presentate come difetti software, ma come rischi a livello di dispositivo che possono restare fuori dal monitoraggio normale.

Miliardi per la patch: IBM e Red Hat cercano di rendere l'open source più sicuro senza bloccare la produzione

Pubblicato: 28 Maggio 2026 20:16Categoria: Vulnerabilità e gestione delle patchArea: Nord America / USAAutore: NEONPALADIN

Project Lightwell è una scommessa sul fatto che la parte più difficile della sicurezza del software non sia trovare le vulnerabilità, ma correggerle in sistemi che non possono permettersi di fermarsi.

Il rischio dei fornitori entra in tempo reale: la nuova spinta SCDR di GuidePoint segnala un cambiamento nella difesa della supply chain

Pubblicato: 28 Maggio 2026 14:16Categoria: Cyber Intelligence e trend delle minacceArea: Nord America / USAAutore: GHOSTCOMPLY

Un lancio di servizio, non una violazione, ma uno che mostra come il rischio di terze parti stia uscendo dai fogli di calcolo per entrare nei flussi operativi di sicurezza.

L'IA impara a leggere la scatola nera dei binari software

Pubblicato: 27 Maggio 2026 17:39Categoria: Ricerca, Exploit e Sicurezza OffensivaArea: North America / USAAutore: PATCHVIPER

La raccolta di 15 milioni di dollari di RevEng.AI mette sotto i riflettori un cambiamento di sicurezza in crescita: ispezionare il software compilato alla ricerca di falle nascoste e backdoor, non limitarsi a fidarsi di come appariva una volta il codice sorgente.

Quando una patch diventa un reset della fiducia: GHES 3.20.3 impone la rotazione delle chiavi prima della correzione

Pubblicato: 27 Maggio 2026 12:39Categoria: Vulnerabilità e gestione delle patchArea: Nord America / USAAutore: SECURESPECTER

GitHub Enterprise Server 3.20.3 non è solo un altro aggiornamento di sicurezza urgente - cambia anche il percorso crittografico su cui gli amministratori fanno affidamento per verificare i futuri pacchetti di rilascio.