← Torna al blog
Briefing sicurezza4 min read2026-04-28

Briefing sicurezza, 28 aprile 2026: phishing Robinhood, infostealer PyPI ed estensioni sleeper GlassWorm

La lezione di stamattina è brutta e semplice: onboarding fidato, package manager fidati e marketplace di estensioni fidati stanno diventando meccanismi di consegna per gli attaccanti.


In breve: Tre storie contano ora: contenuti controllati dagli attaccanti dentro vere email Robinhood, una release open source falsificata che ruba segreti ed estensioni VS Code progettate per svegliarsi più tardi.


1. Il flusso di onboarding di Robinhood è stato piegato in un canale di phishing

Gli attaccanti hanno abusato del processo di creazione account di Robinhood per iniettare HTML in vere email di avviso login inviate da noreply@robinhood.com. I messaggi superavano SPF e DKIM, sembravano legittimi e spingevano le vittime verso un sito di phishing. La conclusione è netta: fidarsi del mittente non basta se il contenuto non viene sanificato.


2. elementary-data su PyPI ha trasformato un normale flusso di release in furto di credenziali

Il popolare pacchetto elementary-data è stato compromesso tramite script injection in GitHub Actions. Questo ha esposto un token di workflow e ha permesso di forgiare una release firmata. La versione 0.23.3 ha distribuito un infostealer mirato a chiavi SSH, credenziali cloud, segreti CI, file wallet e dati dell’ambiente sviluppatore, con lo stesso impatto esteso alle immagini container.


3. Le 73 estensioni sleeper OpenVSX di GlassWorm mostrano attacchi supply-chain più silenziosi

Socket ha trovato 73 estensioni OpenVSX collegate a GlassWorm, con sei già attivate. Il nuovo trucco è la pazienza: pubblicare qualcosa di innocuo, lasciare crescere la fiducia e consegnare il payload solo in un aggiornamento successivo. È lo stesso abuso dell’ecosistema, solo più silenzioso e più sporco.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Ricontrollate ogni template email che rifletta dati cliente o del dispositivo.
  2. Cercate il pacchetto PyPI compromesso e forzate la rotazione dei segreti dove è stato eseguito.
  3. Inventariate estensioni VS Code e OpenVSX sulle flotte developer prima della prossima ondata di aggiornamenti.
  4. Smettete di trattare le superfici di fiducia come un dettaglio UX. Ora fanno parte della superficie d’attacco.

Fonti


In sintesi: Il pattern di oggi non è malware esotico. È fiducia ordinaria trasformata in trasporto. Se un workflow, un template o un marketplace sembrano routine, gli attaccanti li hanno già notati.

Individua i percorsi di fiducia che gli attaccanti stanno già testando

KENSAI aiuta i team a mappare workflow esposti, dipendenze rischiose e punti ciechi della superficie developer prima che diventino incidenti reali.

Avvia scansione gratuita →

Restate affilati.

🗡️ Team Sicurezza KENSAI