← Torna al blog
Briefing sicurezza5 min di lettura2026-05-06

Briefing sicurezza, 6 maggio 2026: Quasar Linux, supply chain di DAEMON Tools, ricadute Instructure e furto di OTP con CloudZ

Il pattern di questa mattina è l’abuso della fiducia a ogni livello: workstation degli sviluppatori, installer firmati, esportazioni SaaS e ponti tra desktop e telefono sono diventati percorsi d’attacco appena i team hanno dato per sicuri gli strumenti familiari.


In breve: caccia al furto di credenziali developer, isolamento di ogni installazione Windows con DAEMON Tools, pressione sui fornitori edtech per prove per-tenant e basta considerare l’OTP via SMS un controllo solido quando l’endpoint è già compromesso.


1. Quasar Linux trasforma gli ambienti di sviluppo in rampe per attacchi supply chain

Trend Micro afferma che l’impianto QLNX, finora non documentato, è progettato per una persistenza furtiva negli ambienti developer e DevOps che ruotano attorno a npm, PyPI, GitHub, AWS, Docker e Kubernetes. Il malware compila sul posto componenti rootkit e backdoor PAM, opera in modalità fileless, ripulisce le tracce e ruba proprio le credenziali più vicine alla catena di distribuzione software.


2. Il compromesso di DAEMON Tools dimostra che software firmato dal sito ufficiale non basta

Kaspersky ha trovato installer Windows trojanizzati di DAEMON Tools sul sito legittimo del vendor, firmati con i certificati reali dell’azienda. La catena compromessa distribuisce strumenti di profilazione host e una backdoor capace di eseguire comandi e payload in memoria, con migliaia di tentativi d’infezione ma un secondo stadio recapitato in modo selettivo.


3. Le ricadute di Instructure stanno diventando un problema di data governance su scala tenant

BleepingComputer riporta che l’attore dietro l’incidente Instructure sostiene di aver rubato 280 milioni di record collegati a 8.809 scuole, università e piattaforme educative. Non è ancora tutto verificato in modo indipendente, ma la scala dichiarata basta già a imporre una revisione lato cliente, perché il percorso ipotizzato sfrutta funzioni legittime di export e API di Canvas invece di una distruzione evidente del servizio.


4. CloudZ mostra perché l’OTP via SMS crolla quando l’endpoint controlla il ponte

Cisco Talos afferma che un nuovo plugin CloudZ chiamato Pheno ruba SMS e notifiche degli authenticator abusando di Microsoft Phone Link su host Windows compromessi. L’attaccante non deve prendere pieno controllo del telefono se il desktop possiede già un percorso sincronizzato verso database dei messaggi e notifiche.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Controllate prima endpoint developer e sistemi Linux vicini alla CI; il raggio d’impatto è più ampio di una sola macchina.
  2. Passate al setaccio l’ambiente Windows per l’esposizione a DAEMON Tools e trattate ogni installer fidato come potenziale incidente se la firma del vendor è stata compromessa.
  3. Chiedete ai fornitori edtech e SaaS evidenze specifiche per tenant, non linguaggio generico da incidente, soprattutto su export e accessi API.
  4. Riducete la dipendenza dagli OTP via SMS e includete gli strumenti di sync desktop-mobile nel threat modeling dell’identità.

Fonti


In sintesi: il rischio di oggi non sono soltanto zero-day esotici, ma sistemi familiari che hanno ereditato in silenzio troppa fiducia. La mossa giusta è verificare il percorso software, il percorso identità e il percorso sync prima che gli attaccanti monetizzino tutti e tre insieme.

Trova prima i percorsi fidati che gli attaccanti sfrutteranno

KENSAI aiuta i team a mappare sistemi developer esposti, dipendenze rischiose, flussi identitari deboli e superfici di sincronizzazione nascoste prima che gli strumenti quotidiani diventino un percorso di intrusione.

Avvia scansione gratuita →

Resta affilato.

🗡️ KENSAI Security Team