Aprile 2026 si chiude sotto scacco per la supply-chain digitale. Il gruppo LAPSUS$ ha pubblicato 96 GB di dati sensibili rubati dai repository GitHub di Checkmarx, includendo codice malevolo in estensioni VSCode popolari. Nel frattempo, la nuova gang BlackFile sta terrorizzando i settori retail e hospitality con tecniche di vishing (phishing vocale) per aggirare l’autenticazione a due fattori. Sul fronte legale, un successo dell’FBI porta all’arresto in Finlandia di un diciannovenne chiave del gruppo Scattered Spider, mentre Vimeo conferma l’esposizione dei dati dei propri clienti a causa di una violazione subita dal fornitore terzo Anodot.
Cosa leggere
LAPSUS$ pubblica 96 GB rubati dai repository GitHub di Checkmarx
Checkmarx conferma la pubblicazione di 96 GB di dati rubati dal proprio repository GitHub privato da parte di LAPSUS$. L’incidente deriva da una compromissione collegata all’attacco supply-chain su Trivy del 23 marzo 2026, attribuito a TeamPCP. Gli attaccanti sfruttano credenziali rubate per interagire con l’ambiente GitHub dell’azienda e pubblicare artefatti malevoli collegati a strumenti di sicurezza. Il 22 aprile 2026 compaiono immagini Docker compromesse, estensioni VSCode e pacchetti Open VSX associati allo scanner KICS. Questi artefatti risultano progettati per sottrarre credenziali, chiavi, token e file di configurazione, con persistenza fino a un mese. Checkmarx blocca il repository coinvolto, avvia un’indagine forense con una terza parte specializzata e precisa che, al momento, non risultano dati clienti nel repository esposto.
Supply chain degli strumenti di sicurezza diventa bersaglio prioritario
Il caso Checkmarx evidenzia un rischio particolarmente delicato: gli strumenti di sicurezza diventano essi stessi vettori di compromissione. Quando un attaccante manipola immagini Docker, estensioni IDE o pacchetti usati dagli sviluppatori, può colpire ambienti downstream con un effetto moltiplicatore. Il danno non si limita quindi all’azienda violata, ma si estende a team DevSecOps, pipeline CI/CD e repository collegati. Le organizzazioni che usano Trivy, KICS, estensioni VSCode o artefatti scaricati da registri pubblici devono verificare immediatamente integrità, firme, hash e provenienza dei pacchetti. La gestione delle credenziali diventa centrale: token GitHub, chiavi API e segreti di configurazione devono essere ruotati quando esiste anche solo il sospetto di esposizione. L’incidente dimostra che la fiducia implicita nella supply chain software non è più sostenibile.
Scattered Spider perde un hacker di 19 anni arrestato in Finlandia
Le autorità finlandesi arrestano il 10 aprile 2026 all’aeroporto di Helsinki un hacker di 19 anni, cittadino duale USA-Estonia e noto con l’alias Bouquet. Il giovane stava tentando di imbarcarsi per il Giappone quando viene fermato su richiesta delle autorità statunitensi. Il Dipartimento di Giustizia USA lo accusa di frode via filo, cospirazione e intrusione informatica. Bouquet viene collegato a Scattered Spider, noto anche come UNC3944, collettivo attivo dal 2022 e composto in larga parte da teenager e giovani adulti statunitensi e britannici. Il gruppo è specializzato in social engineering, MFA fatigue, phishing via SMS e impersonation degli helpdesk IT. L’arresto conferma la dimensione internazionale delle indagini e mostra che le forze dell’ordine seguono da vicino gli spostamenti dei membri del gruppo.
Scattered Spider usa helpdesk impersonation e MFA fatigue
Scattered Spider ha costruito la propria efficacia sulla manipolazione del fattore umano. In un caso del maggio 2025 contro un retailer di lusso, gli attaccanti si fingono dipendenti, contattano l’helpdesk IT e ottengono il reset delle credenziali. Da lì accedono ad account amministrativi, esfiltrano circa 100 GB di dati e chiedono un riscatto da 8 milioni di dollari. L’azienda rifiuta, ma sostiene oltre 2 milioni di dollari tra interruzione operativa e remediation. Il gruppo è stato associato ad attacchi contro grandi nomi come Caesars Entertainment, MGM Resorts, Riot Games, Twilio, DoorDash, Reddit, Allianz Life, Marks & Spencer e Jaguar Land Rover. La giovane età degli operatori non riduce la pericolosità del collettivo. Al contrario, mostra come community online e gruppi criminali riescano a reclutare competenze tecniche e sociali molto presto, trasformandole in campagne ad alto impatto.
Vimeo conferma violazione indiretta tramite il provider Anodot
Vimeo conferma il 28 aprile 2026 una violazione indiretta legata al provider Anodot, specializzato in anomaly detection e analytics. Un attore non autorizzato accede a dati tecnici, titoli di video, metadati e, in alcuni casi, indirizzi email dei clienti. La società precisa che non risultano esposti contenuti video caricati, credenziali degli account o dati di pagamento. Vimeo disabilita immediatamente tutte le credenziali associate ad Anodot e rimuove l’integrazione dai propri sistemi. L’azienda collabora con esperti di sicurezza esterni e notifica le autorità competenti. L’incidente evidenzia ancora una volta il rischio delle integrazioni con fornitori terzi: anche quando il sistema principale resta integro, un provider compromesso può diventare il punto d’ingresso verso dati sensibili o metadati aziendali rilevanti.
ShinyHunters sfrutta token Anodot e minaccia pubblicazione dei dati
L’attacco a Anodot viene collegato a ShinyHunters, gruppo noto per campagne di furto dati ed estorsione. Gli attaccanti ottengono token di autenticazione che consentono l’accesso ad ambienti Snowflake e BigQuery di clienti collegati. Da qui recuperano dati utilizzabili per pressione estorsiva, ricatto reputazionale o ulteriori campagne di phishing. La minaccia di pubblicazione entro il 30 aprile 2026 aumenta la pressione su aziende coinvolte e clienti finali. Il caso dimostra quanto siano critici i token API e le integrazioni analytics: credenziali troppo permissive, mancata rotazione e scarsa segmentazione possono trasformare un provider esterno in un moltiplicatore di rischio. Le aziende devono rivedere scope, durata e monitoraggio delle credenziali affidate a strumenti SaaS terzi.
Retail hospitality e tech affrontano attacchi convergenti
Gli episodi legati a Checkmarx, BlackFile, Scattered Spider e Vimeo mostrano una convergenza tra supply-chain attack, social engineering e furto dati da provider esterni. Il settore tech viene colpito attraverso repository, pacchetti e strumenti di sviluppo. Retail e hospitality vengono presi di mira con vishing e impersonation. Le piattaforme digitali subiscono invece violazioni indirette tramite integrazioni cloud e analytics. Il denominatore comune è la fiducia. Gli attaccanti sfruttano la fiducia nei pacchetti software, negli helpdesk, negli account aziendali e nei provider terzi. Per questo i controlli tradizionali non bastano più. Le organizzazioni devono verificare identità, sessioni, dispositivi, token e comportamento in modo continuo. La difesa non può concentrarsi solo sul perimetro, perché il perimetro ormai include GitHub, SaaS, API, fornitori e persone.
Aziende devono rafforzare zero-trust e controlli helpdesk
Le aziende esposte a queste minacce devono adottare controlli zero-trust più rigorosi. Gli helpdesk non dovrebbero più autorizzare reset MFA o password basandosi solo su chiamate vocali, email o informazioni personali facilmente reperibili. Servono verifiche multifattore fuori banda, procedure di callback su numeri registrati, approval manageriale e logging completo di ogni modifica agli account privilegiati. Anche i sistemi SaaS richiedono nuove regole. Accessi API a Salesforce, SharePoint, Snowflake, BigQuery e GitHub devono essere limitati per scope, durata e contesto. I token devono essere ruotati regolarmente e monitorati per anomalie. Le attività di download massivo, query insolite e accessi da nuovi dispositivi devono generare alert immediati. La sicurezza moderna dipende dalla capacità di vedere comportamenti anomali prima che diventino esfiltrazione completa.
Aprile 2026 segna una nuova fase degli attacchi cyber combinati
L’ondata di marzo e aprile 2026 dimostra che i gruppi criminali non usano più una sola tecnica, ma combinano compromissione della supply chain, furto di credenziali, vishing, abuso di API e pressione psicologica. LAPSUS$ colpisce un vendor di sicurezza come Checkmarx, BlackFile attacca settori ad alto volume operativo, Scattered Spider resta una minaccia nonostante gli arresti e ShinyHunters sfrutta provider terzi come Anodot. Gli arresti internazionali mostrano che le indagini producono risultati, ma non fermano la nascita di nuove gang. Le organizzazioni devono quindi adottare un approccio assume-breach, con monitoraggio continuo delle integrazioni, verifica delle identità e inventory aggiornata di credenziali e token. La frequenza degli incidenti suggerisce un punto di svolta: la sicurezza aziendale non può più separare persone, software e fornitori. Sono ormai parte della stessa superficie d’attacco.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
