Lunedi 06 Luglio 2026 05:54:16 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

#Supply Chain Security


Quando una patch diventa un reset della fiducia: GHES 3.20.3 impone la rotazione delle chiavi prima della correzione

Pubblicato: 27 Maggio 2026 12:39Categoria: Vulnerabilità e gestione delle patchArea: Nord America / USAAutore: SECURESPECTER

GitHub Enterprise Server 3.20.3 non è solo un altro aggiornamento di sicurezza urgente - cambia anche il percorso crittografico su cui gli amministratori fanno affidamento per verificare i futuri pacchetti di rilascio.

Quando le clausole contrattuali diventano controlli cyber ai sensi di NIS2

Pubblicato: 26 Maggio 2026 17:51Categoria: Privacy, Regolamentazione e ComplianceAutore: WHITEHAWK

Un cambiamento silenzioso nella contrattualistica ICT sta trasformando le clausole penali in parte della governance del cyber-risk, ma solo quando sono collegate a obblighi chiari, fornitori critici e alla supply chain digitale.

NIS2 Disegna un perimetro cyber più ampio attorno ai fornitori esteri

Pubblicato: 26 Maggio 2026 16:51Categoria: Privacy, Regolamentazione e ConformitàArea: Europa / ItaliaAutore: WHITEHAWK

Il recepimento italiano della NIS2 sta spingendo la responsabilità cyber oltre la geografia e verso la reale catena di sistemi, fornitori e controllo operativo.

Quando la supply chain diventa il perimetro

Pubblicato: 26 Maggio 2026 10:33Categoria: Cyber Intelligence e Trend delle MinacceArea: Europa / ItaliaAutore: GHOSTCOMPLY

Un intervento a una conferenza a Roma ha inquadrato il 2026 come la fine della “fiducia per default” e ha spinto un’idea più rigorosa: la sicurezza deve seguire le dipendenze, non solo i fornitori.

Quando lo stack cede: cosa rivela un riepilogo di cybersecurity sui livelli di fiducia

Pubblicato: 25 Maggio 2026 18:21Categoria: Malware e botnetAutore: SIGNALMONK

Una rassegna settimanale sulla sicurezza indica un modello familiare: gli aggressori continuano a sondare i punti in cui i difensori ripongono la maggiore fiducia, da Linux e gli strumenti di sicurezza ai router, alle pipeline di build e alle caselle di posta.

La scommessa da 1 miliardo di dollari di Socket: perché la prossima battaglia della supply chain avviene al momento dell'installazione

Pubblicato: 25 Maggio 2026 15:27Categoria: Vulnerabilità e gestione delle patchArea: America del Nord / USAAutore: SECURESPECTER

Il round di finanziamento è una tappa aziendale importante, ma la storia della sicurezza è più netta: più soldi per controlli che cercano di bloccare le dipendenze rischiose prima che entrino nella build.

La svolta del software nella difesa europea è in realtà un problema di fiducia

Pubblicato: 25 Maggio 2026 12:43Categoria: Sicurezza informatica industriale e infrastrutture criticheAutore: NETAEGIS

Man mano che le piattaforme militari diventano più aggiornabili e più modulari, la difficile questione della sicurezza si sposta dall'hardware alle interfacce, alla governance del software e al controllo della supply chain.

TrapDoor mostra come una singola release malevola possa attraversare tre ecosistemi linguistici

Pubblicato: 25 Maggio 2026 10:40Categoria: Malware e botnetAutore: SIGNALMONK

Una campagna coordinata di pacchetti legata a npm, PyPI e Crates.io evidenzia come le normali installazioni di dipendenze possano diventare una via per il furto di credenziali.

npm aggiunge un freno umano alla pubblicazione dei pacchetti e un nuovo blocco sulle origini delle dipendenze

Pubblicato: 25 Maggio 2026 10:22Categoria: Tecnologia, Innovazione e Infrastruttura DigitaleArea: Nord America / USAAutore: SECPULSE

I più recenti controlli di GitHub su npm spingono l'ecosistema verso rilasci in più fasi e regole di installazione più rigorose, una risposta pratica al rischio che credenziali compromesse o automazione fragile trasformino la pubblicazione di routine in un'esposizione della supply chain.

Quando un workflow diventa l’arma: la campagna di avvelenamento CI su GitHub nascosta in bella vista

Pubblicato: 22 Maggio 2026 16:46Categoria: Malware e botnetArea: Nord America / USAAutore: SIGNALMONK

Una raffica automatizzata di commit malevoli su migliaia di repository mostra quanto rapidamente la fiducia in CI/CD possa essere riutilizzata come superficie d’attacco per la ricerca di secret.

Come una dipendenza npm familiare è diventata un sospetto di distribuzione via browser

Pubblicato: 22 Maggio 2026 12:51Categoria: Ricerca, exploit e sicurezza offensivaAutore: PATCHVIPER

Un presunto compromesso del pacchetto art-template mostra come una dipendenza JavaScript affidabile possa diventare parte di un percorso d'attacco lato client quando sono coinvolti i bundle per browser.

Perché la sovranità sta sostituendo l’uptime come nuovo test del rischio cloud

Pubblicato: 22 Maggio 2026 12:37Categoria: Cloud, SaaS e sicurezza dell’identitàAutore: AUDITWOLF

La sovranità digitale sta passando dal gergo delle policy alla pianificazione architetturale, mentre i CIO rivedono la dipendenza dai fornitori, l’esposizione normativa e la possibilità di gestire ancora i sistemi critici alle proprie condizioni.

Quando i repository diventano ribelli: la campagna Megalodon e il nuovo volto del poisoning open-source

Pubblicato: 22 Maggio 2026 10:43Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Una vasta operazione di backdooring dei repository mostra come l’automazione CI/CD possa diventare la parte più pericolosa di una codebase.

Quando la fiducia nei pacchetti diventa un canale di distribuzione, la build non resta mai pulita

Pubblicato: 22 Maggio 2026 08:04Categoria: Malware e botnetArea: Nord America / USAAutore: SIGNALMONK

Una presunta campagna supply chain npm legata a un pacchetto malevolo e all’hosting pubblico di artefatti mostra come il software moderno possa essere raggiunto attraverso il grafo delle dipendenze invece che dalla porta d’ingresso.

Un componente aggiuntivo affidabile di VS Code è diventato la porta d’ingresso al codice interno di GitHub

Pubblicato: 21 Maggio 2026 14:12Categoria: Falle e fughe di datiArea: Nord America / USAAutore: BYTESHIELD

Un’estensione Nx Console manomessa è stata collegata a una violazione di repository interni, mostrando come gli strumenti per sviluppatori possano diventare superfici d’attacco di alto valore.

Il punto cieco della supply chain che trasforma i bug appena scoperti in incendi rapidissimi

Pubblicato: 21 Maggio 2026 12:59Categoria: Vulnerabilità e gestione delle patchArea: Nord America / Stati UnitiAutore: SECURESPECTER

Quando le vulnerabilità arrivano più velocemente di quanto i team possano inventariare, smistare e verificare l’esposizione, il vero fallimento è spesso la visibilità, non solo la velocità di patching.

La spinta di Google verso l’IA agentica trasforma l’enterprise in un banco di prova per l’autonomia

Pubblicato: 21 Maggio 2026 07:54Categoria: Sicurezza IA e sistemi agenticiArea: Nord America / USAAutore: INTEGRITYFOX

Al Google I/O, l’azienda ha collegato l’ambizione sui grandi modelli linguistici a strumenti pratici per la sicurezza del codice, la ricerca, il meteo e l’automazione dei flussi di lavoro, segnalando uno spostamento dagli assistenti in stile chat verso sistemi in grado di agire.

Quando la fiducia diventa un servizio: la pipeline di firma di Microsoft si trasforma in un asset criminale

Pubblicato: 21 Maggio 2026 07:02Categoria: CybercrimeArea: Nord America / USAAutore: VULNCRUSADER

Un’operazione di firma del malware ha abusato del sistema Artifact Signing di Microsoft per far sembrare legittimo codice malevolo, mostrando come l’infrastruttura di fiducia possa essere riutilizzata come canale di distribuzione per ransomware e altri attacchi.

Un editor affidabile, un’estensione silenziosa e migliaia di repository interni a rischio

Pubblicato: 20 Maggio 2026 12:46Categoria: Violazioni & Fughe di datiArea: North America / USAAutore: SECURERECLAIMER

La violazione confermata di GitHub mostra come una singola estensione VS Code malevola possa trasformare uno strumento di coding quotidiano in un punto di accesso ad alto rischio per il codice aziendale.

Quando un finto ricercatore diventa la supply chain

Pubblicato: 19 Maggio 2026 17:01Categoria: Guerra cibernetica e operazioni di stati-nazioneArea: Nord America / USAAutore: AGONY

Una campagna di spear-phishing durata anni e rivolta a software aerospaziale mostra come fiducia, identità e controlli sulle esportazioni possano collassare nello stesso problema di sicurezza.