redmount.xyz

Nel mondo della sicurezza informatica siamo abituati a cercare le minacce nei luoghi più ovvi: allegati email, file eseguibili, script obfuscati nei siti web. Ma pochi si fermano a pensare che anche una semplice favicon – quella piccola icona che appare accanto al titolo di una scheda nel browser – possa diventare un cavallo di Troia perfettamente funzionante. Ed è proprio questo il cuore della ricerca pubblicata su arXiv da David Noever e Forrest McKee nel luglio 2025: dimostra come sia possibile sfruttare il canale alfa di un file .ico per nascondere codice JavaScript eseguibile, creando un vettore d’attacco invisibile all’occhio umano. La tecnica si basa su un uso creativo (e malevolo) della steganografia: invece di nascondere messaggi cifrati all’interno dei pixel visibili, i ricercatori nascondono il payload sfruttando il canale della trasparenza dell’immagine, ovvero quei valori alfa che regolano l’opacità di ogni pixel. Agendo sui bit meno significativi (LSB) di questi valori, r...

Nei giorni scorsi è stato pubblicato un interessante studio da GitGuardian e Synacktiv, ripreso anche da The Hacker News, riguardo a una situazione che può sembrare banale ma che ha implicazioni di sicurezza piuttosto serie: centinaia di applicazioni scritte in Laravel sono risultate esposte a potenziali attacchi da remoto a causa della pubblicazione accidentale della variabile di ambiente APP_KEY su repository GitHub. In un’epoca in cui la cultura DevOps ha abbattuto molte barriere tra sviluppo e produzione, dove tutto è codice, anche i segreti spesso viaggiano troppo vicino al codice stesso e, a volte, finiscono involontariamente nel posto sbagliato. Quello che mi ha colpito non è tanto il numero assoluto – si parla di 600 app esposte e più di 260.000 chiavi individuate nel tempo – quanto il fatto che ci si trova di fronte a un problema silenzioso, spesso sottovalutato, ma strutturalmente legato a cattive abitudini nella gestione delle variabili sensibili. Laravel, come molti framewo...

Recenti ricerche hanno rivelato la presenza di due modelli di machine learning (ML) maliziosi sulla piattaforma Hugging Face, i quali utilizzano una tecnica insolita di "pickle corrotto" per eludere i sistemi di rilevamento. Questi modelli sfruttano il formato di serializzazione Pickle di Python, noto per i suoi rischi di sicurezza, poiché può eseguire codice arbitrario al momento del caricamento e della deserializzazione. Tecnica "NullifAI" e Implicazioni per la Sicurezza La tecnica impiegata, denominata "NullifAI", consiste nell'inserimento di un payload malizioso all'inizio del file Pickle. Questo approccio consente al codice dannoso di essere eseguito prima che la deserializzazione dell'oggetto venga completata, evitando così la rilevazione da parte degli strumenti di sicurezza esistenti. In entrambi i casi analizzati, il payload malizioso è un reverse shell che si connette a un indirizzo IP predefinito. Modelli Coinvolti e Implicazioni per...