Una violazione riportata che coinvolge un ambiente connesso a Salesforce mostra come una singola credenziale di integrazione compromessa possa trasformare la fiducia nel SaaS in un problema di accesso ai dati.
Un presunto incidente di data-extortion presso Tata Electronics mostra come un partner di produzione possa diventare un punto di pressione per più marchi, anche prima che la causa tecnica principale sia pienamente nota.
Un incidente segnalato presso Tata Electronics mostra come un fornitore manifatturiero possa diventare un punto di pressione per più marchi quando i file rubati vengono trasformati in pedine di scambio pubbliche.
Un piccolo gruppo di pacchetti npm a tema PostCSS mostra come la confusione dei nomi e la fiducia al momento dell'installazione possano trasformare il normale lavoro sulle dipendenze in un rischio di malware per Windows.
Sigstore indica un modello di fiducia più recente per le release software: firma legata all'identità, un registro pubblico a prova di manomissione e una minore dipendenza da un segreto di lunga durata.
Il vero rischio del 2026 non è una nuova arma magica, ma il divario crescente tra un’offensiva più rapida, una governance più lenta e le organizzazioni che riescono a riprendersi per prime.
Un fallimento nel controllo dell'ambito in un catalogo di plugin mostra come uno spazio dei nomi familiare possa far sembrare codice di terze parti una integrazione ufficiale.
Microsoft ha rilasciato i plug-in GDK per Unreal Engine 5.8 per semplificare lo sviluppo di giochi Xbox PC.
Una violazione segnalata legata al Texas Parks and Wildlife mostra come un appaltatore nella catena di fiducia possa trasformare un normale sistema di licenze in un evento di privacy di alto valore.
Un pacchetto typosquatted nell'ecosistema npm mostra come un singolo nome fuorviante possa offrire agli aggressori un percorso dall'installazione di una dipendenza all'esecuzione nativa su Windows.
Ventitré plugin che eseguono codice usavano nomi dall'aspetto ufficiale in un registro in cui un'etichetta può influenzare la fiducia tanto quanto una firma.
La spinta della Germania per un ruolo più importante nel settore spaziale europeo è una dichiarazione geopolitica, ma indica anche il modello di fiducia fortemente basato sul software alla base delle missioni moderne.
Una dipendenza malevola trovata in oltre 140 pacchetti Mastra mostra come un incidente della supply chain software possa spostarsi dagli strumenti di build alle superfici di criptovaluta rivolte al browser.
Un nome di pacchetto ingannevole nell'orbita di PostCSS mostra come la fiducia nell'open source possa essere abusata prima ancora che il codice raggiunga la produzione.
Una campagna malware basata su estensioni, segnalata, mette gli ecosistemi di VS Code sotto una luce impietosa: il vero bersaglio non è solo il software, ma la catena di fiducia che lo distribuisce.
Un takeover dell'account di un maintainer legato a pacchetti Mastra compromessi mostra come i registry di pacchetti possano diventare sistemi di distribuzione di malware quando la fiducia nel pubblicatore viene infranta.
I fornitori critici non sono più un problema da retrobottega: NIS2 e DORA stanno portando il rischio della supply chain nei consigli di amministrazione, dove continuità e responsabilità ora si sovrappongono.
Un percorso di manutenzione dirottato, un pacchetto typosquat e due payload molto diversi mostrano come l'abuso della supply chain possa andare ben oltre un singolo namespace.
La sicurezza IaC sposta le difese a monte, perché in molti ambienti cloud l'errore più costoso non è una configurazione errata in produzione, ma il codice che la crea.
GlassWorm rende più tagliente un rischio ben noto: gli strumenti per sviluppatori possono diventare punti di consegna fidati per codice furtivo, testo nascosto e canali di comando difficili da bloccare.