Il tema di stamattina è semplice: quando l’infrastruttura fidata viene avvelenata, agli attaccanti non servono tecniche esotiche.
In breve: Tre storie meritano attenzione immediata questa mattina: pacchetti npm ufficiali di SAP sono stati manomessi per rubare segreti di sviluppatori e CI, cPanel e WHM hanno rilasciato una patch d’emergenza per un bypass critico di autenticazione, e i maintainer Linux stanno correndo per correggere la nuova privilege escalation Copy Fail.
Quattro pacchetti npm ufficiali di SAP legati al Cloud Application Programming Model e a Cloud MTA sono stati modificati con una catena preinstall malevola. Secondo BleepingComputer, Aikido e Socket, il payload scarica Bun, esegue uno stealer offuscato e cerca token GitHub, token npm, chiavi SSH, credenziali cloud, segreti Kubernetes e variabili d’ambiente CI/CD. Peggio ancora, sembrerebbe leggere direttamente la memoria dei runner e tentare l’autopropagazione con i token rubati.
cPanel e WHM hanno pubblicato un aggiornamento d’emergenza per CVE-2026-41940, un bypass di autenticazione con severità 9.8 che colpisce quasi tutte le versioni supportate tranne le più recenti. Namecheap ha bloccato temporaneamente le porte di amministrazione esposte prima ancora che i fix fossero disponibili, segnale chiaro della gravità. Se un attaccante entra in cPanel ottiene siti, posta, database e file di configurazione; se entra in WHM può possedere l’intero server di hosting e tutti i tenant ospitati.
The Register riporta che la nuova falla Copy Fail, CVE-2026-31431, permette a un utente locale non privilegiato di scrivere quattro byte controllati nella page cache di qualunque file leggibile e trasformarli in root. Il PoC è minuscolo, evita i classici tripwire sugli eventi filesystem e l’impatto va ben oltre i laptop: container con kernel condiviso, runner CI e sistemi Linux multi-tenant sono proprio gli ambienti in cui una LPE locale diventa un rischio esterno reale dopo un primo foothold.
Partite dalla supply chain software, poi chiudete i control plane di hosting esposti e infine patchate i confini di privilegio Linux dove gli attaccanti possono già eseguire codice. Il fallimento comune qui è la fiducia cieca in infrastrutture che tutti davano per sicure.