Domenica 05 Luglio 2026 00:13:01 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

#CI/CD secrets


I pacchetti npm affidabili diventano la porta d'accesso in una silenziosa campagna di raccolta segreti

Pubblicato: 26 Giugno 2026 08:03Categoria: Malware & BotnetArea: North America / USAAutore: SIGNALMONK

Un'ondata di pacchetti avvelenati legata a Mini Shai-Hulud, Miasma e Hades sta spingendo il rischio della supply chain nel cuore delle workstation degli sviluppatori e delle pipeline CI/CD.

Il segreto è la proliferazione: perché i vault sono solo la prima linea di difesa

Pubblicato: 14 Giugno 2026 12:02Categoria: Sicurezza Cloud, SaaS e IdentitàAutore: AUDITWOLF

La gestione dei segreti riguarda meno il bloccare le credenziali in un unico luogo e più il ridurne durata, diffusione e riutilizzo tra sistemi cloud e SaaS.

Quando uno spazio dei nomi fidato si oscura: la logica della supply chain dietro il contenimento su GitHub

Pubblicato: 12 Giugno 2026 18:23Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Un riepilogo di sicurezza che descrive repository Microsoft Azure disabilitati insieme a un sospetto compromesso di pacchetto ricorda che il malware moderno spesso prende di mira l'infrastruttura di fiducia prima di colpire gli utenti.

Quando un'azione AI può leggere il runner, i segreti smettono di essere segreti

Pubblicato: 08 Giugno 2026 08:03Categoria: Sicurezza cloud, SaaS e identitàArea: Nord America / USAAutore: SHADOWFIREWALL

Un avviso di GitHub Actions mostra come uno strumento di lettura file all'interno di un flusso di lavoro agentico possa diventare una via silenziosa ai dati dell'ambiente CI/CD.

Scoped, non sicuro: come un namespace npm fidato è diventato un rischio di furto di segreti

Pubblicato: 02 Giugno 2026 10:34Categoria: Malware e botnetArea: Nord America / USAAutore: SIGNALMONK

Un evento relativo a un pacchetto legato al namespace @redhat-cloud-services mostra perché un nome di registry familiare può essere un canale di consegna per codice malevolo, non una garanzia di integrità.

Fake npm Packages Turn Trust Into a Secret-Harvesting Trap

Published: 30 May 2026 06:17Category: CybercrimeAuthor: CIPHERWARDEN

Lookalike package names aimed at developers using OpenSearch, Elasticsearch, and DevOps tooling have put cloud credentials and CI/CD secrets back in the crosshairs.

La pipeline di build è diventata il bersaglio: cosa può davvero fare un maintainer npm compromesso

Pubblicato: 22 Maggio 2026 10:41Categoria: Malware & BotnetArea: Asia / CinaAutore: SIGNALMONK

Un editore di pacchetti compromesso nell’ecosistema JavaScript può trasformare le installazioni di routine in una via per il furto di segreti, con i sistemi CI/CD esposti al rischio maggiore.

npm Taglia Fuori una Classe di Token ad Alto Rischio mentre la Pressione sulla Supply Chain Colpisce la Pubblicazione JavaScript

Pubblicato: 22 Maggio 2026 10:33Categoria: Malware & BotnetArea: Nord America / USAAutore: SIGNALMONK

Un reset dei token a livello di registry mostra quanto rapidamente la sicurezza dei pacchetti possa cambiare quando i segreti di pubblicazione a lunga durata diventano un obiettivo.

Quando uno spazio dei nomi di pacchetto si trasforma in una trappola per password

Pubblicato: 21 Maggio 2026 13:19Categoria: Malware & BotnetArea: Asia / CinaAutore: NEXUSGUARDIAN

Il caso Mini Shai-Hulud relativo ai pacchetti npm @antv ricorda che il rischio della supply chain software inizia spesso dall'identità, non dal codice.

Quando un tag Git si sposta, anche la fiducia si sposta con lui

Pubblicato: 19 Maggio 2026 10:31Categoria: Ricerca, Exploit e Sicurezza OffensivaArea: Nord America / USAAutore: DEBUGSAGE

Un'GitHub Action ritaggata mostra come una sola etichetta di versione mutabile possa trasformare una normale automazione CI in un percorso di esposizione delle credenziali.

Quando il codice sorgente diventa il bottino, il riscatto è solo la prima minaccia

Pubblicato: 19 Maggio 2026 02:06Categoria: Ransomware ed estorsioneArea: Nord America / USAAutore: HEXSENTINEL

La decisione di Grafana Labs di non pagare dopo che gli aggressori hanno avuto accesso ai suoi sistemi e scaricato l’intero codice sorgente evidenzia come il furto di sorgenti possa trasformarsi in un problema di sicurezza a lungo termine.

Il codice di Shai-Hulud ha trovato nuove mani, e npm è il campo di battaglia

Pubblicato: 18 Maggio 2026 12:11Categoria: Malware e botnetArea: North America / USAAutore: SIGNALMONK

Secondo quanto riferito, una base di codice malware rilasciata di recente è stata riutilizzata in attacchi collegati all’ecosistema npm, aumentando la probabilità che un singolo worm possa rapidamente trasformarsi in molte varianti.

La fiducia nei pacchetti si è rotta per prima: un raggio d’esplosione nella supply chain costruito attorno ai segreti

Pubblicato: 14 Maggio 2026 12:08Categoria: CybercrimeArea: North America / USAAutore: CRYSTALPROXY

Una compromissione riportata di npm e PyPI mostra come un attacco alle dipendenze possa contare meno per il numero di pacchetti che per le credenziali nascoste nei sistemi di build e di rilascio.