La lezione di stamattina è brutta e familiare: quando i percorsi admin o developer considerati affidabili vengono avvelenati, agli attaccanti non serve eleganza per fare danni.
Top line: Cinque storie contano stamattina: CISA vuole patch Windows rapide, la compromissione supply chain è saltata dai pacchetti npm SAP a PyTorch Lightning e intercom-client, i tentativi contro il bypass di cPanel sono attivi, Linux Copy Fail rende root economico e Google ha dovuto correggere una falla Gemini CLI a gravità massima.
BleepingComputer riporta che CISA ha aggiunto una vulnerabilità Windows sfruttata attivamente al catalogo KEV e ha imposto una scadenza alle agenzie federali. Il segnale è netto: se CISA forza un movimento urgente, le aziende devono presumere che esista già tradecraft reale degli attaccanti.
The Hacker News afferma che le versioni malevole 2.6.2 e 2.6.3 di PyTorch Lightning pubblicate il 30 aprile sono collegate alla stessa attività Mini Shai-Hulud che ha colpito pacchetti npm legati a SAP. Il malware punta a segreti GitHub, npm, SSH, cloud, Kubernetes e CI. Ogni laptop dev o runner coinvolto va trattato come incidente.
BleepingComputer e The Register descrivono il bypass di autenticazione cPanel/WHM come critico, sfruttato e abbastanza grave da richiedere patch d’emergenza. Queste falle portano direttamente a siti, email, database e talvolta a intere flotte hosting.
The Register e The Hacker News descrivono Copy Fail (CVE-2026-31431) come una LPE Linux che trasforma un foothold modesto in root sulle principali distribuzioni. Conta ovunque codice meno fidato possa già girare localmente: CI, server condivisi, jump host e container con kernel condiviso.
The Register e The Hacker News riportano che Google ha corretto una falla di command execution a gravità massima in Gemini CLI e nel workflow GitHub Actions correlato, oltre a problemi di Cursor che possono anch’essi portare a code execution. Fastidioso operativamente, ma peggio lasciare aperto un percorso di esecuzione host-level.
Patcha i Windows urgenti, ruota i segreti toccati da installazioni compromesse, chiudi il buco cPanel, correggi i kernel Linux dove conta l’esecuzione locale e ritesta la CI assistita da IA dopo gli update Gemini. Il pattern è brutale: la plumbing operativa fidata è sotto attacco.