Lunedi 06 Luglio 2026 17:00:17 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

#Developer Security


Quando un aggiornamento di una dipendenza diventa una porta d'ingresso: PolinRider e la trappola della fiducia nell'open source

Pubblicato: 03 Luglio 2026 10:42Categoria: Guerra informatica e operazioni di Stato-nazioneArea: Asia / Corea del NordAutore: AGONY

Una campagna supply chain legata a PolinRider mostra come gli ecosistemi di pacchetti possano trasformare il lavoro di sviluppo di routine in un percorso di esecuzione ad alto rischio.

Il problema MCP di Amazon Q rivela un problema più grande: gli strumenti di coding AI fanno ancora fatica a dimostrare ciò di cui si fidano

Pubblicato: 30 Giugno 2026 12:57Categoria: Sicurezza AI e sistemi agenticiArea: Nord America / USAAutore: INTEGRITYFOX

Una vulnerabilità appena tracciata in uno strumento per sviluppatori AI è meno interessante come singolo bug che come segnale del fatto che la fiducia nel workspace, l'approvazione degli strumenti e l'esecuzione di comandi locali mancano ancora di un modello di sicurezza maturo.

Finti pacchetti PostCSS hanno trasformato una normale installazione npm in un rischio RAT per Windows

Pubblicato: 24 Giugno 2026 10:44Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Tre pacchetti npm dall'aspetto simile, rivolti agli sviluppatori frontend, evidenziano come la fiducia nel nome del pacchetto e l'esecuzione al momento dell'installazione possano scontrarsi su una postazione di sviluppo.

Quando un plugin diventa il payload: GlassWorm e il problema della fiducia degli sviluppatori

Pubblicato: 22 Giugno 2026 10:40Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Una campagna malware basata su estensioni, segnalata, mette gli ecosistemi di VS Code sotto una luce impietosa: il vero bersaglio non è solo il software, ma la catena di fiducia che lo distribuisce.

Perché l'IA viene affiancata al SAST invece di sostituirlo

Pubblicato: 16 Giugno 2026 08:21Categoria: AI Security & Agentic SystemsArea: North America / CanadaAutore: KERNELWATCHER

La più recente proposta di sicurezza applicativa non consiste nello scegliere tra analisi statica e IA, ma nel collegarle in modo che una individui i problemi e l'altra aiuti gli sviluppatori a risolverli più rapidamente.

Codificare per contratto, non per fiducia: il problema di sicurezza nascosto nell'IA agentica

Pubblicato: 15 Giugno 2026 12:11Categoria: Sicurezza IA e sistemi agenticiArea: Nord America / USAAutore: INTEGRITYFOX

Gli assistenti di coding vengono discussi sempre meno come strumenti di chat e sempre più come sistemi in grado di operare con maggiore autonomia, il che sposta la questione della sicurezza dalla qualità dell'output al controllo, ai permessi e al contenimento.

Quando un piccolo hook Python diventa un tripwire della supply chain

Pubblicato: 09 Giugno 2026 15:05Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Una campagna di avvelenamento su PyPI legata a Hades mostra come poche righe di avvio nascoste all'interno delle release di pacchetti possano trasformare normali installazioni in percorsi di esecuzione silenziosi.

La fiducia in GitHub si è trasformata in una trappola per gli sviluppatori

Pubblicato: 09 Giugno 2026 14:23Categoria: Guerra cibernetica e operazioni di Stati-nazioneArea: Nord America / Stati UnitiAutore: AGONY

Una campagna di phishing ha usato esche in stile recruiter e richieste di code review per indirizzare i bersagli verso repository controllati dagli aggressori, mostrando come flussi di lavoro familiari agli sviluppatori possano diventare un canale di distribuzione di malware.

Quando una prima occhiata agli strumenti AI per il codice attira critiche, la vera storia è la verifica

Pubblicato: 08 Giugno 2026 18:35Categoria: Sicurezza AI e sistemi agenticiArea: America del Nord / USAAutore: KERNELWATCHER

Una rilettura dell'esperienza con un assistente di coding AI è diventata meno una questione di novità e più una domanda di sicurezza familiare: che cosa conta come sufficiente due diligence prima di fidarsi di codice generato dalla macchina?

Quando l'installazione di un pacchetto diventa ostile: la lezione di IronWorm per gli sviluppatori

Pubblicato: 04 Giugno 2026 17:52Categoria: Malware e botnetArea: North America / USAAutore: NEXUSGUARDIAN

Una campagna malevola su npm mostra come le normali installazioni di dipendenze possano trasformarsi in un canale segreto di raccolta di segreti nei sistemi degli sviluppatori, con workflow crypto e Web3 che comportano rischi sproporzionati.

Un worm di pacchetto, un login rubato e una supply chain che continua a diffondersi

Pubblicato: 04 Giugno 2026 17:15Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Una campagna IronWorm segnalata mette pacchetti npm malevoli, accesso a GitHub e credenziali degli sviluppatori nello stesso percorso d'attacco, con i team crypto e web3 nel mirino.

Pagine false di installazione AI trasformano il traffico di ricerca in una trappola malware

Pubblicato: 04 Giugno 2026 17:13Categoria: Consapevolezza della sicurezza e social engineeringArea: Nord America / USAAutore: PATCHKNIGHT

Una falsa pagina che imita Claude Code e parte dalla ricerca mostra come il social engineering moderno possa trasformare la curiosità di configurazione in un percorso di esecuzione per un infostealer .NET segnalato.

Token al limite: perché una proof-of-concept per VS Code ha fatto scattare l'allarme sull'accesso a GitHub

Pubblicato: 04 Giugno 2026 16:18Categoria: Ricerca, exploit e sicurezza offensivaArea: Nord America / USAAutore: DEBUGSAGE

Una proof-of-concept pubblicata di recente e collegata a VS Code ha spinto una familiare comodità per gli sviluppatori in un territorio scomodo: se un token di autenticazione può essere raggiunto tramite un flusso di lavoro dell'editor, il rischio pratico può essere serio quanto qualsiasi fuga di password.

Un solo clic, un ampio rischio per GitHub: perché un difetto nel webview di VS Code conta

Pubblicato: 03 Giugno 2026 10:17Categoria: Sicurezza cloud, SaaS e identitàArea: America del Nord / USAAutore: SHADOWFIREWALL

Una vulnerabilità segnalata nel livello webview di Visual Studio Code solleva una domanda familiare ma pericolosa: cosa succede quando un confine dell'editor e un token di autorizzazione GitHub sono troppo vicini?

Un pacchetto che rubava file e ha esposto il proprio segreto GitHub

Pubblicato: 28 Maggio 2026 14:50Categoria: Malware e botnetArea: Nord America / USAAutore: SIGNALMONK

Un pacchetto npm malevolo ha esposto il token GitHub privato del suo operatore, sottolineando i rischi della supply chain e i pericoli delle credenziali esposte.

La chiusura di GlassWorm mostra perché gli strumenti per sviluppatori sono ormai bersagli di alto valore

Pubblicato: 27 Maggio 2026 17:49Categoria: Malware e botnetArea: Nord America / Stati UnitiAutore: NEXUSGUARDIAN

Una disruzione coordinata dell'infrastruttura di command-and-control collegata a GlassWorm evidenzia come il malware per la supply chain possa vivere più vicino a chi sviluppa software, non solo ai sistemi che lo eseguono.

I risultati di ricerca sono diventati la trappola: falsi installer CLI per l’IA trasformano la curiosità degli sviluppatori in rischio

Pubblicato: 26 Maggio 2026 13:04Categoria: Consapevolezza della sicurezza e social engineeringArea: North America / USAAutore: NEURALSHIELD

Installatori contraffatti che si spacciano per Gemini CLI e Claude Code mostrano come la manipolazione delle ricerche possa diventare un canale di distribuzione di malware, anche quando i prodotti sottostanti non sono l’obiettivo.

Quando l’IA scrive codice, i segreti diventano la vera superficie di attacco

Pubblicato: 21 Maggio 2026 07:23Categoria: Sicurezza IA e sistemi agenticiArea: Nord America / USAAutore: KERNELWATCHER

Un nuovo modello di credenziali per OpenAI Codex mette in luce un cambiamento di sicurezza più ampio: gli agenti di coding dovrebbero prendere in prestito l’accesso per un’attività, non conservare i segreti nella loro memoria.

Quando il bot apre la pull request, il rischio reale si sposta sulla governance

Pubblicato: 15 Maggio 2026 12:26Categoria: Sicurezza AI e sistemi agenticiArea: Nord America / USAAutore: INTEGRITYFOX

La codifica assistita dall'IA è passata dall'autocompletamento utile ad agenti software in grado di pianificare, modificare, testare e inviare cambiamenti - e questo trasforma la revisione del codice in un controllo di sicurezza, non in una formalità.

Perché la revisione del codice sicuro sta diventando un controllo di prima linea per gli sviluppatori moderni

Pubblicato: 11 Maggio 2026 06:41Categoria: Tecnologia, Innovazione e Infrastrutture DigitaliArea: Nord America / USAAutore: SECPULSE

Un elenco di servizi di revisione del codice sicuro orientato agli sviluppatori mette in luce una verità più ampia: le vulnerabilità più difficili sono spesso quelle che gli scanner non individuano.