Zlouporaba OAuth preusmjeravanja omogućuje phishing i isporuku malvera
Microsoft je uočio aktivnosti gdje napadači zloupotrebljavaju OAuth mehanizme preusmjeravanja koji su po dizajnu predviđeni za autentifikacijske tokove. Kampanje ciljaju vladine i javne organizacije te koriste tihe OAuth tokove i namjerno neispravne scopeove kako bi preusmjerile žrtve na napadačku infrastrukturu bez krađe tokena. Microsoft Defender je detektirao korelirane signale kroz email, identitet i endpoint, a Microsoft Entra je onemogućio uočene OAuth aplikacije, uz napomenu da povezane aktivnosti i dalje zahtijevaju nadzor.
Izvor: Microsoft Security Blog

Neizravna prompt injekcija u AI agentima uočena u stvarnim napadima
Unit 42 opisuje uočene slučajeve neizravne prompt injekcije, gdje napadači ubacuju skrivene ili manipulirane upute u web sadržaj koji kasnije obrađuje LLM ili agent. Umjesto izravne interakcije s modelom, napad se oslanja na funkcije poput sažimanja stranica ili analize sadržaja, pa model nenamjerno izvršava napadačke upute. Utjecaj raste s razinom privilegija i osjetljivošću sustava u koji je agent integriran, a objavljen je i primjer izbjegavanja AI pregleda oglasa.
Izvor: Unit 42

Amazon potvrdio oštećenja AWS podatkovnih centara nakon napada dronovima i šire ispade
Amazon je potvrdio da su tri AWS podatkovna centra u Ujedinjenim Arapskim Emiratima i jedan u Bahreinu oštećeni u napadima dronovima, što je uzrokovalo opsežan prekid rada koji pogađa više cloud usluga. Prema navodima, incident je poremetio AWS Middle East UAE regiju ME CENTRAL 1 i AWS Middle East Bahrain regiju ME SOUTH 1, a kontekst se povezuje s eskalacijom regionalnog sukoba i odmazdom nakon vojnih udara.Izvor: BleepingComputer

SloppyLemming cilja vlade Pakistana i Bangladeša s dva lanca isporuke malvera
Napadačka aktivnost SloppyLemming povezana je s napadima na državne entitete i operatore kritične infrastrukture u Pakistanu i Bangladešu. Prema Arctic Wolfu, aktivnosti su trajale od siječnja 2025 do siječnja 2026 i koristile dva odvojena lanca napada za isporuku BurrowShell malvera i keyloggera napisanog u Rustu. Izvještaj navodi da Rust predstavlja evoluciju u alatu skupine u odnosu na ranije primijećene tehnike i alate poput Cobalt Strikea, Havoca i vlastitog NekroWire RATa.
Izvor: The Hacker News

Google potvrdio da je iskorištavana ranjivost u Qualcomm Android komponenti
Google je objavio da je ranjivost CVE 2026 21385 u open source Qualcomm komponenti korištenoj u Android uređajima iskorištavana u stvarnim napadima. Propust je klasificiran kao buffer over read u grafičkoj komponenti, a Qualcomm ga opisuje kao problem memorijske korupcije povezan s integer overflowom. Navodi se da je ranjivost prijavljena 18. prosinca 2025, a korisnici su obaviješteni 2. veljače 2026.
Izvor: The Hacker News

Ranjivost u Chrome Gemini panelu omogućila preuzimanje kontrole putem ekstenzija
Istraživači su otkrili CVE-2026-0628, ranjivost visoke razine ozbiljnosti u implementaciji Gemini Live funkcionalnosti u Google Chromeu. Propust je mogao omogućiti zlonamjernim ekstenzijama s osnovnim dozvolama preuzimanje kontrole nad Gemini panelom i pristup lokalnim datotekama, što bi moglo dovesti do eskalacije privilegija. Google je ranjivost zakrpao početkom siječnja prije javne objave.
Izvor: Unit 42

APT28 povezan s MSHTML zero day ranjivošću iskorištavanom prije Patch Tuesday nadogradnje
Rusiji povezana skupina APT28 navodno je iskorištavala CVE-2026-21513, ranjivost u MSHTML Frameworku s CVSS ocjenom 8.8, prije nego što je zakrpana u Microsoftovom Patch Tuesday ažuriranju u veljači 2026. Propust je omogućavao zaobilaženje sigurnosnih mehanizama putem mreže i mogao je biti korišten u ciljanim napadima.
Izvor: SecurityWeek

StegaBin kampanja koristi zlonamjerne npm pakete i Pastebin steganografiju
Otkriveno je 26 zlonamjernih npm paketa koji provode višefaznu operaciju krađe vjerodajnica usmjerenu na developere. Kampanja nazvana StegaBin skriva command and control infrastrukturu unutar Pastebin sadržaja koristeći steganografiju na razini znakova. Infekcija završava instalacijom remote access trojana i devet modula za krađu podataka, uključujući SSH ključeve, git repozitorije, pregledničke vjerodajnice i lokalno pohranjene tajne podatke.
Izvor: Socket

Tisuće Google Cloud API ključeva javno izložene s pristupom Gemini servisima
Istraživanje je otkrilo gotovo 3.000 javno dostupnih Google Cloud API ključeva ugrađenih u klijentski kod. Iako se obično koriste kao identifikatori projekata za naplatu, ti ključevi mogli su se zloupotrijebiti za autentifikaciju prema osjetljivim Gemini endpointovima i pristup privatnim podacima nakon aktivacije API funkcionalnosti.
Izvor: The Hacker News

ClawJacked propust omogućio preuzimanje lokalnih OpenClaw AI agenata
Ranjivost visoke razine ozbiljnosti u OpenClaw sustavu omogućavala je zlonamjernim web stranicama povezivanje s lokalno pokrenutim AI agentom putem WebSocket gatewaya vezanog na localhost. U kombinaciji sa socijalnim inženjeringom, napadači su mogli preuzeti kontrolu nad agentom bez dodatnih plugina ili ekstenzija. Propust je u međuvremenu zakrpan.
Izvor: The Hacker News

Cisco zakrpao Catalyst SD WAN zero day ranjivost koju iskorištavaju vrlo sofisticirani napadači
Cisco je objavio hitne zakrpe za kritičnu zero day ranjivost u Catalyst SD WAN sustavu označenu kao CVE-2026-20127 s CVSS ocjenom 10. Propust se može udaljeno iskoristiti za zaobilaženje autentifikacije i stjecanje administratorskih privilegija na ranjivim uređajima. Ranjivost pogađa mehanizam autentifikacije peeringa u Catalyst SD WAN Controlleru i Catalyst SD WAN Manageru te omogućuje neautentificiranim napadačima slanje posebno oblikovanih zahtjeva.
Izvor: SecurityWeek

Microsoft upozorava developere na lažne Next.js repozitorije za posao koji isporučuju in memory malware
Koordinirana kampanja usmjerena na developere koristi zlonamjerne repozitorije prerušene u legitimne Next.js projekte i tehničke zadatke kako bi navela žrtve na izvršavanje koda i uspostavu trajnog pristupa kompromitiranim računalima. Aktivnost se uklapa u širi obrazac mamaca vezanih uz zapošljavanje koji se uklapaju u uobičajene developerske procese i povećavaju vjerojatnost kompromitacije.
Izvor: The Hacker News

Nova Dohdoor malware kampanja cilja obrazovanje i zdravstvo
Cisco Talos identificirao je kampanju koja isporučuje ranije nepoznati backdoor nazvan Dohdoor. Malware koristi DNS over HTTPS za command and control komunikaciju te može reflektivno preuzimati i izvršavati dodatne zlonamjerne komponente. Kampanja cilja organizacije u sektoru obrazovanja i zdravstva u Sjedinjenim Državama kroz višefazni lanac napada.
Izvor: Cisco Talos

UnsolicitedBooker cilja telekom tvrtke u Srednjoj Aziji backdoorima LuciDoor i MarsSnake
Skupina UnsolicitedBooker zabilježena je u napadima na telekomunikacijske tvrtke u Kirgistanu i Tadžikistanu. Napadi uključuju implementaciju dvaju backdoora nazvanih LuciDoor i MarsSnake. Istraživači navode korištenje više jedinstvenih alata kineskog podrijetla.
Izvor: The Hacker News

Zlonamjerni NuGet paket cilja Stripe
Istraživači su otkrili zlonamjerni NuGet paket koji imitira Stripe.net, popularan paket s više od 70 milijuna preuzimanja. Aktivnost dolazi nakon ranijih kampanja usmjerenih na developerski ekosustav povezan s kripto platformama i dodatno potvrđuje rizike u opskrbnom lancu softverskih paketa.
Izvor: ReversingLabs

Telegram kanali otkrivaju brzu zloupotrebu SmarterMail ranjivosti
Istraživači su na podzemnim Telegram kanalima i forumima uočili kako napadači u roku od nekoliko dana od objave ranjivosti dijele i prodaju PoC eksploite te ukradene administratorske pristupe povezane s CVE-2026-24423 i CVE-2026-23760. Riječ je o kritičnim propustima koji omogućuju udaljeno izvršavanje koda i zaobilaženje autentifikacije na javno izloženim mail serverima.
Izvor: BleepingComputer

AI u sredini komunikacije: zloupotreba AI servisa kao C2 proxyja
Istraživanje pokazuje da napadači sve češće koriste legitimne AI servise kao komunikacijske kanale za command and control infrastrukturu. Budući da su AI domene često dozvoljene u korporativnom prometu, postaju atraktivan vektor za prikrivanje zlonamjernih aktivnosti. AI se koristi i za generiranje phishing sadržaja, izradu skripti, analizu ukradenih podataka te razvoj cjelovitih C2 frameworka.
Izvor: Check Point Research

Firebase pogrešna konfiguracija izložila 300 milijuna poruka AI aplikacije
Nezaštićena Firebase baza podataka izložila je približno 300 milijuna poruka više od 25 milijuna korisnika aplikacije Chat & Ask AI. Aplikacija funkcionira kao pristupnik prema više AI modela, što znači da je jedan tehnički propust imao širok utjecaj na privatnost korisnika diljem svijeta.
Izvor: Hackread

CISA upozorava na kritičnu ranjivost u Honeywell CCTV sustavima
CISA je izdala upozorenje o kritičnoj ranjivosti CVE-2026-1670 u više Honeywell CCTV proizvoda. Propust omogućuje neautentificiranom napadaču promjenu e-mail adrese za oporavak lozinke te preuzimanje korisničkog računa i pristup video prijenosima. Ranjivost je ocijenjena s CVSS 9.8.
Izvor: BleepingComputer

GrayCharlie kompromitira odvjetničke web stranice u mogućem supply chain napadu
Skupina GrayCharlie kompromitirala je WordPress stranice i ubrizgavala zlonamjerni JavaScript koji preusmjerava korisnike na NetSupport RAT payloadove putem lažnih browser update stranica. Identificiran je klaster kompromitiranih odvjetničkih web stranica u SAD-u, što upućuje na mogući supply chain napad preko zajedničkog IT pružatelja usluga.
Izvor: Recorded Future

UNC6201 iskorištava Dell RecoverPoint for Virtual Machines zero-day ranjivost
Mandiant i Google Threat Intelligence Group identificirali su zero-day iskorištavanje kritične ranjivosti u Dell RecoverPoint for Virtual Machines sustavu, označene kao CVE-2026-22769 (CVSS 10.0). Prema analizi, prijetnja UNC6201, povezana s Kinom, iskorištava propust najmanje od sredine 2024. godine za lateralno kretanje, održavanje perzistencije i implementaciju zlonamjernih alata uključujući SLAYSTYLE, BRICKSTORM i novi backdoor GRIMBOLT.
Izvor: Google Cloud Blog

Spam kampanja zloupotrebljava Atlassian Jira Cloud za ciljanje vlada i korporacija
Napadači su koristili Atlassian Jira Cloud i povezani e-mail sustav za provođenje automatiziranih spam kampanja, zaobilazeći tradicionalne e-mail sigurnosne kontrole iskorištavanjem reputacije legitimne domene. Kampanja je bila aktivna od kraja prosinca 2025. do kraja siječnja 2026. te je ciljala državne i korporativne subjekte, usmjeravajući žrtve prema investicijskim prijevarama i online kasino stranicama.
Izvor: Trend Micro

Ranjivosti u popularnim PDF platformama omogućile preuzimanje računa i eksfiltraciju podataka
Istraživači su otkrili više od deset ranjivosti u PDF platformama Foxit i Apryse koje su mogle omogućiti preuzimanje korisničkih računa, eksfiltraciju podataka i druge napade. Propusti su odgovorno prijavljeni proizvođačima, koji su objavili sigurnosne zakrpe.
Izvor: SecurityWeek

Notepad++ zakrpao kompromitirani mehanizam nadogradnje korišten za distribuciju ciljanog malwarea
Notepad++ je objavio sigurnosnu nadogradnju verzije 8.9.2 kojom se adresira zloupotreba mehanizma nadogradnje od strane naprednog aktera iz Kine. Nova implementacija uvodi dodatne provjere digitalno potpisanih instalacijskih datoteka i XML odgovora s poslužitelja kako bi se spriječila isporuka ciljanog zlonamjernog softvera.
Izvor: The Hacker News

Flaws u popularnim VSCode ekstenzijama izlažu developere napadima
Ranjivosti visoke i kritične razine u popularnim Visual Studio Code ekstenzijama, preuzetim više od 128 milijuna puta, mogle su omogućiti krađu lokalnih datoteka i udaljeno izvršavanje koda. Pogođene su ekstenzije Code Runner, Markdown Preview Enhanced i Microsoft Live Preview. Istraživači navode da na ranije prijave proizvođači nisu odgovorili.
Izvor: BleepingComputer

BeyondTrust zakrpao kritičnu RCE ranjivost
BeyondTrust je objavio zakrpe za kritičnu ranjivost u proizvodima Remote Support (RS) i Privileged Remote Access (PRA) koja omogućuje neautentificirano udaljeno izvršavanje koda. Ranjivost CVE-2026-1731 (CVSS 9.9) može se iskoristiti putem posebno oblikovanih zahtjeva za izvršavanje naredbi operativnog sustava. Eksploatacija ne zahtijeva autentifikaciju ni interakciju korisnika te može dovesti do kompromitacije sustava, neovlaštenog pristupa i eksfiltracije podataka. Procjenjuje se da je oko 8.500 javno dostupnih on-prem RS instalacija potencijalno izloženo riziku.
Izvor: SecurityWeek

Fortinet zakrpao kritičnu SQL Injection ranjivost
Fortinet je izdao sigurnosne nadogradnje za CVE-2026-21643 (CVSS 9.1), kritičnu SQL Injection ranjivost u FortiClientEMS sustavu. Propust omogućuje neautentificiranim napadačima izvršavanje proizvoljnog koda ili naredbi putem posebno izrađenih HTTP zahtjeva. Organizacije koje koriste ranjive verzije FortiClientEMS-a trebaju hitno primijeniti zakrpe kako bi spriječile kompromitaciju sustava.
Izvor: The Hacker News

Warlock ransomware kompromitirao SmarterTools putem neažuriranog SmarterMail servera
SmarterTools je potvrdio da je ransomware grupa Warlock (Storm-2603) kompromitirala njihovu mrežu iskorištavanjem neažurirane SmarterMail instance. Jedan virtualni server nije bio uključen u standardni proces nadogradnje, što je omogućilo inicijalni pristup napadačima. Tvrtka je navela da poslovne aplikacije i korisnički podaci nisu kompromitirani.
Izvor: The Hacker News

Najveća višestruka kibernetička operacija protiv APT aktera UNC3886 u Singapuru
Singapurske vlasti objavile su da je APT skupina UNC3886 provela ciljanu kampanju protiv telekomunikacijskog sektora. Meta napada bili su svi glavni telekom operateri – M1, SIMBA Telecom, Singtel i StarHub. Operacija odgovora uključivala je više državnih agencija s ciljem zaštite kritične infrastrukture i ograničavanja daljnjih aktivnosti napadača.
Izvor: Cyber Security Agency of Singapore

Novi SSHStalker Linux botnet koristi stare eksploatacijske tehnike
Novoidentificirani Linux botnet nazvan SSHStalker koristi eksploatacijske tehnike stare više od 15 godina, uključujući IRC-based upravljanje i 19 Linux kernel eksploita iz 2009. godine. Botnet implementira cron mehanizme za perzistenciju te watchdog model za ponovno pokretanje zlonamjernih procesa. Iako artefakti podsjećaju na ranije rumunjske botnet kampanje poput Outlaw i Dota, izravna povezanost nije potvrđena.
Izvor: SecurityWeek

UNC1069 cilja kriptovalutni sektor novim alatima i socijalnim inženjeringom potpomognutim AI-jem
Sjevernokorejski akteri prijetnji nastavljaju razvijati svoje taktike kako bi ciljali kriptovalutni i decentralizirani financijski (DeFi) sektor. Mandiant je nedavno istražio upad u fintech organizaciju iz tog sektora, pripisan skupini UNC1069, financijski motiviranom akteru aktivnom najmanje od 2019. godine. Istraga je otkrila prilagođeni upad koji je rezultirao implementacijom sedam različitih obitelji zlonamjernog softvera, uključujući nove alate za prikupljanje podataka s računala i o žrtvi: SILENCELIFT, DEEPBREATH i CHROMEPUSH. Napad se oslanjao na socijalni inženjering koji je uključivao kompromitirani Telegram račun, lažni Zoom sastanak, ClickFix infekcijski vektor te navodnu upotrebu AI-generiranog videa za obmanu žrtve.
Izvor: Google Cloud

TeamPCP crv iskorištava cloud infrastrukturu za izgradnju kriminalne infrastrukture
Istraživači kibernetičke sigurnosti upozorili su na masovnu kampanju koja je sustavno ciljala cloud-native okruženja radi postavljanja zlonamjerne infrastrukture za daljnje iskorištavanje. Aktivnost, zabilježena oko 25. prosinca 2025. i opisana kao “worm-driven”, iskorištavala je izložene Docker API-je, Kubernetes klastere, Ray nadzorne ploče i Redis poslužitelje, zajedno s ranije otkrivenom React2Shell ranjivošću (CVE-2025-55182, CVSS ocjena 10.0). Kampanja se pripisuje klasteru prijetnji poznatom kao TeamPCP (poznatom i kao DeadCatx3, PCPcat, PersyPCP i ShellForce). TeamPCP je aktivan barem od studenoga 2025., a njihova Telegram grupa trenutno ima više od 700 članova, gdje objavljuju ukradene podatke žrtava iz Kanade, Srbije, Južne Koreje, Ujedinjenih Arapskih Emirata i SAD-a. Detalji o akteru prvi su put dokumentirani u prosincu 2025. pod nazivom Operation PCPcat.
Izvor: The Hacker News

Nedavne SolarWinds ranjivosti potencijalno iskorištavane kao zero-day
Napadi usmjereni na internetom dostupne SolarWinds Web Help Desk (WHD) instance radi početnog pristupa mogli su iskoristiti nedavno zakrpane ranjivosti kao zero-day, navodi Microsoft. Kao dio višefaznog upada u prosincu 2025., napadači su kompromitirali ranjive WHD implementacije kako bi pokrenuli PowerShell i preuzeli dodatne zlonamjerne terete. Microsoft, međutim, nije mogao potvrditi jesu li napadači iskoristili nove ili starije SolarWinds ranjivosti koje su već poznate kao aktivno iskorištavane. Prema navodima, kompromitirani proizvod bio je ranjiv na CVE-2025-40551 i CVE-2025-40536, zakrpane u siječnju 2026., ali i na CVE-2025-26399, ispravljenu još u rujnu 2025.
Izvor: SecurityWeek

Fortinet priznaje da je FortiGate SSO ranjivost i dalje iskorištiva unatoč prosinačkoj zakrpi
Fortinet je potvrdio da napadači aktivno zaobilaze prosinačku zakrpu za kritičnu FortiCloud SSO ranjivost nakon što su korisnici prijavili sumnjive prijave na uređajima koji su navodno bili u potpunosti ažurirani. U novom savjetovanju Fortinet navodi da je identificiran novi napadački put za zlouporabu SAML-baziranog SSO-a u FortiOS-u, čak i na sustavima na kojima je već primijenjena ranija zakrpa. Otkriće slijedi izvješća da su FortiGate vatrozidi potajno rekonfigurirani putem kompromitiranih SSO računa, pri čemu su napadači mijenjali postavke, stvarali administratorske backdoor račune i iznosili konfiguracijske datoteke.
Izvor: The Register

Njemačka upozorava na otmice Signal računa usmjerene na visoke dužnosnike
Njemačka domaća obavještajna služba upozorava na sumnju da državno sponzorirani akteri ciljaju visoko rangirane pojedince putem phishing napada u aplikacijama za razmjenu poruka poput Signala. Napadi kombiniraju socijalni inženjering i legitimne funkcionalnosti kako bi se ukrali podaci političara, vojnih dužnosnika, diplomata i istraživačkih novinara u Njemačkoj i diljem Europe. Sigurnosno upozorenje temelji se na obavještajnim podacima Saveznog ureda za zaštitu ustava (BfV) i Saveznog ureda za informacijsku sigurnost (BSI). Ključna značajka ove kampanje jest da se ne koristi zlonamjerni softver niti se iskorištavaju tehničke ranjivosti same komunikacijske usluge, navode agencije.
Izvor: BleepingComputer

Lov na OpenClaw izloženosti: CVE-2026-25253 u javno dostupnim AI agent gatewayima
Kao odgovor na nedavno objavljenu ranjivost CVE-2026-25253, istraživački tim analizirao je kako se ova slabost pojavljuje u stvarnim okruženjima i što se može identificirati na razini cijelog interneta korištenjem Hunt[.]io platforme. Analiza se fokusirala na javno izložene frameworke za automatizaciju preglednika pogođene CVE-2026-25253, uključujući OpenClaw i njegove forkove Clawdbot i Moltbot, koji izlažu web sučelja za upravljanje i pohranjuju API vjerodajnice za više AI servisa. Kada se implementiraju bez odgovarajućih kontrola pristupa, ova sučelja su izravno dostupna s javnog interneta.
Izvor: Hunt.io

Novi ClickFix varijant “CrashFix” isporučuje Python RAT
U siječnju 2026. Microsoft Defender Experts identificirali su novu evoluciju kampanje ClickFix. Ažurirana taktika namjerno ruši preglednike žrtava, a zatim pokušava navesti korisnike da izvrše zlonamjerne naredbe pod izlikom vraćanja normalne funkcionalnosti. Ova varijanta predstavlja značajnu eskalaciju ClickFix tehnika, kombinirajući ometanje korisnika i socijalni inženjering kako bi se povećala uspješnost izvršavanja uz smanjeno oslanjanje na klasične exploit tehnike. Novi obrazac ponašanja nazvan je CrashFix te odražava širi porast socijalnog inženjeringa temeljenog na preglednicima, zloupotrebe legitimnih OS alata i Python payloadova.
Izvor: Microsoft Security Blog

Brew Hijack: isporuka malwarea kroz Homebrew core tap
Istraživanje je pokazalo da se unutar Homebrew core cask sustava i dalje mogu pronaći paketi koji se preuzimaju putem nekriptiranog HTTP protokola bez ikakve provjere integriteta. Otkriveno je 20 caskova u službenom Homebrew repozitoriju koji su podložni trivijalnim man-in-the-middle napadima, bez potrebe za exploitima ili povišenim privilegijama. To omogućuje napadačima na mrežnom putu da zamijene legitimne pakete zlonamjernim sadržajem.
Izvor: Koi.ai

Eksploatacija React Server Componentsa konsolidirana na dva IP izvora
Dva mjeseca nakon objave ranjivosti CVE-2025-55182, aktivnost iskorištavanja React Server Components značajno se konsolidirala. Telemetrija GreyNoisea pokazuje da dva IP izvora sada generiraju 56% svih zabilježenih pokušaja eksploatacije, u usporedbi s ranijih više od tisuću jedinstvenih izvora. Dominantni izvori koriste različite post-eksploatacijske payloadove, uključujući isporuku kriptomajnera i otvaranje reverse shell veza, što ukazuje na organiziranije i ciljanije operacije.
Izvor: GreyNoise

Sigurnosni incident u Flickru povezan s vanjskim e-mail sustavom
Platforma za dijeljenje fotografija Flickr obavijestila je korisnike o sigurnosnom incidentu koji je doveo do izlaganja osobnih podataka. Incident je povezan s ranjivošću u sustavu vanjskog pružatelja e-mail usluga, koja je mogla omogućiti neovlašteni pristup korisničkim informacijama. Izloženi podaci uključuju imena, e-mail adrese, korisnička imena, tipove računa, IP adrese, opću lokaciju i podatke o aktivnosti na Flickru. Pristup pogođenom sustavu ugašen je u roku od nekoliko sati od saznanja za incident.
Izvor: SecurityWeek_

Kritična ranjivost za bijeg iz sandboxa otkrivena u popularnoj vm2 NodeJS biblioteci
Kritična ranjivost u vm2 Node.js sandbox biblioteci, praćena pod oznakom CVE-2026-22709, omogućuje bijeg iz sandboxa i izvršavanje proizvoljnog koda na podložnom host sustavu. Open-source vm2 biblioteka stvara sigurno okruženje za izvršavanje nepouzdanog JavaScript koda bez pristupa datotečnom sustavu. Povijesno se koristila u SaaS platformama koje podržavaju izvršavanje korisničkih skripti, online alatima za pokretanje koda, chatbotovima i open-source projektima, s primjenom u više od 200.000 GitHub projekata. Projekt je ukinut 2023. godine zbog ponovljenih sandbox escape ranjivosti te se smatra nesigurnim za izvršavanje nepouzdanog koda.
Izvor: BleepingComputer

Fortinet blokira aktivno iskorištavani FortiCloud SSO zero-day dok se ne objavi zakrpa
Fortinet je potvrdio novu kritičnu zero-day ranjivost zaobilaženja autentikacije u FortiCloud single sign-on (SSO) mehanizmu, praćenu pod oznakom CVE-2026-24858, koja se aktivno iskorištava. Tvrtka navodi da je ublažila napade blokiranjem FortiCloud SSO veza s uređaja koji koriste ranjive verzije firmwarea. Propust omogućuje napadačima zloupotrebu FortiCloud SSO-a za stjecanje administratorskog pristupa FortiOS, FortiManager i FortiAnalyzer uređajima registriranima na druge korisnike, čak i kada su ti uređaji bili u potpunosti zakrpani protiv prethodno objavljene ranjivosti.
Izvor: BleepingComputer

CISA dodaje pet aktivno iskorištavanih ranjivosti u KEV katalog
CISA je dodala pet novih ranjivosti u svoj katalog Known Exploited Vulnerabilities (KEV) na temelju dokaza o aktivnom iskorištavanju. Novo dodani propusti uključuju ranjivosti koje pogađaju Linux kernel, Microsoft Office, GNU InetUtils i SmarterTools SmarterMail, što dodatno naglašava kontinuirano iskorištavanje dugogodišnjih i nedavno otkrivenih slabosti u široko korištenom softveru.
Izvor: CISA

Istraga međunarodne “ATM jackpotting” sheme rezultirala dodatnim optužnicama
Savezni veliki porotni sud u okrugu Nebraska podigao je dodatnu optužnicu protiv 31 osobe zbog njihove uloge u velikoj zavjeri usmjerenoj na implementaciju malwarea i krađu milijuna dolara s bankomata u Sjedinjenim Američkim Državama, poznatoj kao “ATM jackpotting”. Prethodno je već bilo optuženo 56 osoba. Slučaj uključuje državljane Venezuele i Kolumbije, uključujući pripadnike skupine Tren de Aragua, te obuhvaća optužbe za zavjeru radi bankovne prijevare, provale u banke, računalne prijevare i nanošenje štete zaštićenim računalnim sustavima.
Izvor: U.S. Department of Justice

Povreda podataka u SoundCloudu izložila e-mail adrese milijuna korisnika
U prosincu 2025. SoundCloud je objavio da je otkrio neautoriziranu aktivnost koja je napadačima omogućila povezivanje javno dostupnih podataka profila s e-mail adresama za približno 20% korisnika. Izloženi podaci uključivali su desetke milijuna e-mail adresa, korisnička imena i povezane metapodatke profila. Napadači su naknadno pokušali ucjenu prije nego što su sljedećeg mjeseca javno objavili skup podataka.
Izvor: BleepingComputer

Kritična CERT-In upozorenja – siječanj 2026.: ranjivosti u SAP-u, Microsoftu i Atlassianu
Siječanj 2026. bio je mjesec buđenja za enterprise sigurnosne timove. U samo jednom tjednu CERT-In je objavio tri upozorenja visoke ozbiljnosti koja su otkrila kritične ranjivosti u SAP-u, Microsoftu i Atlassianu – platformama koje pokreću financijske susteme, identitetske slojeve, developerske pipelineove i alate za suradnju u većini organizacija. Ovo nisu bile teorijske greške. Jedna Windows ranjivost već se aktivno iskorištavala u napadima, dok su druge omogućavale udaljeno izvršavanje koda, eskalaciju privilegija, krađu podataka i potpuni preuzimanje sustava. Ako vaša organizacija koristi SAP S/4HANA, Windows, Azure, Jira, Confluence ili Bitbucket, ovo nije bio patch ciklus koji se mogao ignorirati. Članak razlaže što je bilo pogođeno, kako su napadači mogli zloupotrijebiti ove ranjivosti i što sigurnosni timovi moraju učiniti kako bi ostali ispred prijetnji prije nego što se one pretvore u povrede sigurnosti.
Izvor: Security Boulevard

Hakeri ciljaju Cisco Unified CM zero-day ranjivost
Cisco je u srijedu objavio zakrpe za još jednu zero-day ranjivost koju aktivno ciljaju prijetiteljski akteri. Ranjivost, praćena pod oznakom CVE-2026-20045 i klasificirana kao kritična, pogađa više Cisco komunikacijskih proizvoda, uključujući Cisco Unified Communications Manager (CM) i njegovu Session Management Edition (SME), Unified CM IM & Presence Service, Unity Connection i Webex Calling Dedicated Instance. Prema Ciscu, udaljeni neautentificirani napadač može iskoristiti CVE-2026-20045 za izvršavanje zlonamjernih naredbi na operativnom sustavu uređaja.
Izvor: SecurityWeek

Fortinet priznaje da je FortiGate SSO ranjivost i dalje iskoristiva unatoč zakrpi iz prosinca
Fortinet je potvrdio da napadači aktivno zaobilaze prosinačku zakrpu za kritičnu FortiCloud SSO (single sign-on) ranjivost, nakon što su korisnici prijavili sumnjive prijave na uređajima koji su navodno u potpunosti ažurirani. U novom sigurnosnom upozorenju Fortinet navodi da je identificiran novi vektor napada koji zloupotrebljava SAML-bazirani SSO u FortiOS-u, čak i na sustavima na koje je prethodna zakrpa već primijenjena. Ova objava slijedi izvješća da su FortiGate firewall uređaji tiho rekonfigurirani putem kompromitiranih SSO računa, pri čemu su napadači mijenjali postavke vatrozida, stvarali backdoor administratorske račune i eksfiltrirali konfiguracijske datoteke.
Izvor: The Register

Nova ransomware skupina tvrdi da je kompromitirala KPMG Nizozemska
KPMG Nizozemska navodno je postala najnovija meta ransomware skupine Nova, nakon tvrdnji da su osjetljivi podaci kompromitirani i eksfiltrirani. Incident su 23. siječnja 2026. zabilježile službe za praćenje ransomware aktivnosti, pri čemu napadači tvrde da se kompromitacija dogodila istog dana. Nova je navodno postavila rok od deset dana za uspostavu kontakta i pregovore o otkupnini, što je uobičajena taktika ransomware skupina za vršenje pritiska na velike organizacije. Skupina je stekla reputaciju ciljanjem profesionalnih uslužnih tvrtki i financijskog sektora koji upravljaju visoko vrijednim i povjerljivim klijentskim informacijama.
Izvor: Dig.watch

Ranjivosti sustava kontrole pristupa omogućile otključavanje vrata u velikim europskim tvrtkama
Ranjivosti koje su istraživači otkrili u Dormakaba sustavima fizičke kontrole pristupa mogle su omogućiti hakerima udaljeno otključavanje vrata u velikim organizacijama. Sigurnosne propuste otkrili su stručnjaci tvrtke SEC Consult, u Dormakaba Exos centralnom upravljačkom softveru, hardverskom upravitelju pristupa i registracijskim jedinicama koje omogućuju ulaz putem tipkovnice, čitača otiska prsta ili čip kartice. Identificirano je više vrsta ranjivosti, uključujući hardkodirane vjerodajnice i enkripcijske ključeve, slabe lozinke, nedostatak autentikacije, nesigurno generiranje lozinki, lokalnu eskalaciju privilegija, izloženost podataka, path traversal i command injection propuste.
Izvor: SecurityWeek