Adobe Reader nulti dan iskorištavan mjesecima kroz zlonamjerne PDF datoteke
Istraživači navode da se zlonamjerni PDF koristi za iskorištavanje Adobe Reader nultog dana najmanje od prosinca, uključujući i sustave koji su bili ažurirani. Dokument pritom prikuplja podatke o okruženju, zloupotrebljava privilegirane Acrobat API pozive za krađu lokalnih podataka i može poslužiti kao uvod u daljnje izvršavanje koda ili bijeg iz sandboxa.
Izvor: BleepingComputer

Smart Slider 3 Pro kompromitiran kroz službeni kanal nadogradnje
Napadači su kompromitirali Nextendovu infrastrukturu za nadogradnje i kroz službeni kanal distribuirali trojaniziranu verziju dodatka Smart Slider 3 Pro za WordPress i Joomla stranice. Svaku stranicu koja je nadograđena na verziju 3.5.1.35 treba smatrati potencijalno kompromitiranom jer je zlonamjerna verzija instalirala više backdoor mehanizama, a nije se radilo samo o običnoj ranjivosti.
Izvor: Patchstack

Fortinet hitno zakrpao aktivno iskorištavan FortiClient EMS nulti dan
Fortinet je izdao hitne zakrpe za CVE-2026-35616 u FortiClient EMS proizvodu nakon potvrde aktivne eksploatacije u stvarnim napadima. Riječ je o kritičnom neautentificiranom propustu kontrole pristupa koji putem posebno oblikovanih zahtjeva može dovesti do udaljenog izvršavanja koda.
Izvor: SecurityWeek

Iranski akteri ciljaju Rockwell i Allen Bradley PLC uređaje
Američke agencije upozorile su da iranski povezani akteri aktivno ciljaju internetom izložene Rockwell Automation i Allen Bradley PLC uređaje unutar kritične infrastrukture. Aktivnost uključuje neovlašten pristup inženjerskim projektima i manipulaciju HMI ili SCADA podacima, a upozorenje te upade povezuje s operativnim prekidima i financijskim gubicima.
Izvor: Censys

Google upozorava na UNC6783 napade preko BPO pružatelja usluga
Google navodi da UNC6783 cilja pružatelje BPO usluga i help desk timove koji rade za tvrtke visoke vrijednosti, a zatim taj pristup koristi za krađu podataka njihovih klijenata. Kampanja se oslanja na social engineering i phishing, uključujući krađu support ticketa i identitetskih podataka koji se potom mogu koristiti za iznudu ili daljnji pristup.
Izvor: SecurityWeek

Napadači šire social engineering kampanju na ključne Node.js održavatelje
Socket je izvijestio da ista social engineering operacija koja je stajala iza kompromitacije Axiosa sada cilja i druge važne Node.js i npm održavatelje. Problem nije samo jedan incident s paketom nego obrazac napada usmjeren na račune visokog povjerenja koji mogu progurati zlonamjeran kod u široko korištene ovisnosti.
Izvor: Socket

React2Shell iskorišten za masovnu krađu vjerodajnica iz Next.js aplikacija
Talos je UAT-10608 opisao kao veliku automatiziranu operaciju krađe vjerodajnica koja iskorištava React2Shell u ranjivim Next.js aplikacijama. Nakon početnog pristupa napadači prikupljaju vjerodajnice, SSH ključeve, cloud tokene i tajne iz okruženja, čime svaku kompromitaciju pretvaraju u detaljnu kartu šire infrastrukture žrtve.
Izvor: Cisco Talos

Device code phishing naglo raste kako se novi kitovi šire internetom
Device code phishing snažno raste jer napadači zloupotrebljavaju OAuth device authorization tijek kako bi naveli korisnike da odobre sesije pod kontrolom napadača na legitimnim stranicama za prijavu. Novi kitovi ovu tehniku guraju prema široj kriminalnoj upotrebi jer ukradeni tokeni mogu zaobići klasično presretanje lozinki i produljiti pristup računu i nakon početnog phishing događaja.
Izvor: BleepingComputer

U Apache ActiveMQu zakrpan RCE propust star 13 godina
Apache ActiveMQ Classic zakrpao je CVE-2026-34197, RCE propust u Jolokia komponenti koji je u kodu postojao 13 godina. U nekim verzijama on može postati praktično neautentificiran kada se spoji s drugim propustom izloženosti, pa se administratorska funkcija pretvara u internetski dostupan put za izvršavanje koda.
Izvor: Horizon3.ai

Storm 1175 dodatno skraćuje vrijeme za obranu od Medusa ransomware napada
Microsoft navodi da Storm 1175 vrlo brzo iskorištava novootkrivene ranjivosti na webom izloženim sustavima kako bi isporučio Medusa ransomware, ponekad unutar 24 sata od početnog pristupa. Fokus grupe na kratki vremenski prozor nakon objave propusta znači da izloženi rubni sustavi mogu prijeći od N day izloženosti do eksfiltracije i enkripcije prije nego što uobičajeni obrambeni procesi stignu reagirati.
Izvor: Microsoft Security Blog

Kineski hakeri otkriveni duboko u telekom backbone infrastrukturi
Istraživači su otkrili kineskog državnog aktera koji je implementirao kernel implantate i pasivne backdoorove unutar globalne telekomunikacijske backbone infrastrukture radi dugotrajne prisutnosti. Operacija nije povezana s poznatim APT skupinama, a cilj joj je visoko razinsko špijuniranje i dugoročni pristup kritičnim sustavima.
Izvor: SecurityWeek

ShadowPrompt ranjivost omogućuje preuzimanje kontrole nad Claude Chrome ekstenzijom
Ranjivost u Claude Chrome ekstenziji omogućila je bilo kojoj web stranici da neprimjetno ubaci upute AI asistentu bez interakcije korisnika. Kombinacija preširoke origin allow liste i DOM XSS propusta omogućuje izvršavanje proizvoljnih naredbi s privilegijama korisnika.
Izvor: Koi AI

Citrix upozorava na kritične NetScaler ranjivosti s mogućnošću krađe sesijskih tokena
Citrix je objavio zakrpe za ranjivost CVE-2026-3055 koja može omogućiti neautentificiranim napadačima krađu osjetljivih podataka poput session tokena. Ranjivost je slična prethodnim CitrixBleed propustima i zahtijeva hitno ažuriranje sustava.
Izvor: BleepingComputer

GlassWorm malware skriva RAT unutar zlonamjerne Chrome ekstenzije
GlassWorm kampanja koristi višefazni napad za instalaciju trajnog RAT-a koji uključuje zlonamjernu Chrome ekstenziju maskiranu kao Google Docs Offline. Malware prikuplja tipkanje, kolačiće, tokene sesije i snimke zaslona te komunicira s C2 serverom skrivenim u blockchainu.
Izvor: Aikido Security

Kritične GitLab ranjivosti omogućuju impersonaciju aplikacija i curenje AI tokena
GitLab je objavio sigurnosno ažuriranje koje rješava više ranjivosti visokog rizika, uključujući propuste koji omogućuju impersonaciju aplikacija, neautorizirane naredbe i DoS napade. Poseban rizik predstavlja mogućnost kompromitacije AI tokena i integriteta računa.
Izvor: SecurityOnline

Izvješće IT ISAC-a za 2025. otkriva ključne prijetnje IT sektoru
Izvješće IT ISAC-a daje pregled glavnih kibernetičkih prijetnji usmjerenih na IT sektor te naglašava važnost razmjene obavještajnih podataka između organizacija. Analiza uključuje pregled prijetnji, tehnika napada i mjera zaštite s ciljem jačanja otpornosti kritične infrastrukture.
Izvor: IT-ISAC

Zlonamjerni npm paketi koriste lažne install logove za isporuku RAT-a
Kampanja povezana sa Sjevernom Korejom cilja developere putem lažnih ponuda za posao i testova kodiranja, koristeći npm pakete koji instaliraju remote access trojance. Napad se oslanja na socijalni inženjering za kompromitaciju razvojnih okruženja.
Izvor: ReversingLabs

GhostClaw kampanja širi se na GitHub i AI workflowe
GhostClaw malware kampanja proširila se s npm paketa na GitHub repozitorije i AI workflowe, ciljajući macOS sustave. Istraživači su otkrili nove vektore infekcije i infrastrukturu, što ukazuje na rastuću sofisticiranost napada.
Izvor: Jamf

Tycoon2FA phishing platforma brzo se oporavila nakon policijske akcije
Phishing as a service platforma Tycoon2FA nastavila je s radom ubrzo nakon koordinirane akcije policije. Unatoč zapljeni domena, operacije su se vratile na prethodnu razinu aktivnosti u samo nekoliko dana.
Izvor: BleepingComputer

Kritična Cisco ranjivost aktivno se iskorištava u napadima
Ranjivost CVE-2026-20131 u Cisco Secure Firewall Management Center omogućuje neautentificiranim napadačima izvođenje koda i stjecanje root privilegija. Ranjivost je aktivno iskorištavana i dodana je u CISA KEV katalog, što zahtijeva hitno otklanjanje.
Izvor: Zscaler ThreatLabz

Tvrtka Aura prijavila povredu podataka koja je zahvatila 900 tisuća zapisa
Sigurnosna tvrtka Aura prijavila je povredu podataka uzrokovanu vishing napadom na zaposlenika, pri čemu su napadači imali pristup računu oko sat vremena. Tvrtka je nakon otkrivanja odmah prekinula pristup, aktivirala plan odgovora na incident i uključila vanjske stručnjake te nadležna tijela.
Izvor: SecurityWeek

Apple ispravio WebKit ranjivost koja omogućuje zaobilaženje same origin politike
Apple je objavio sigurnosna ažuriranja za WebKit ranjivost koja omogućuje zaobilaženje same origin politike putem posebno izrađenog web sadržaja. Ranjivost pogađa iOS, iPadOS i macOS te je riješena poboljšanom validacijom ulaza.
Izvor: The Hacker News

Novi ClickFix napad koristi korisnika za mapiranje zlonamjernih mrežnih diskova
Nova varijanta ClickFix napada ne koristi klasični malware već manipulira korisnicima da sami pokrenu zlonamjerne naredbe putem Windows Run dijaloga. Napad koristi lažne CAPTCHA stranice koje korisnike navode na izvršavanje skrivenih komandi iz clipboarda.
Izvor: Hackread

Kritična ScreenConnect ranjivost izlaže kriptografske ključeve sustava
Ranjivost CVE-2026-3564 omogućuje neovlaštenim napadačima pristup osjetljivim kriptografskim materijalima na razini servera. Problem proizlazi iz načina na koji starije verzije upravljaju tajnama, ostavljajući sustav izloženim napadima.
Izvor: SecurityOnline

KVM uređaji predstavljaju podcijenjenu sigurnosnu prijetnju
Istraživanje pokazuje da kompromitacija KVM uređaja omogućuje napadačima potpunu kontrolu nad povezanim sustavima na razini ispod operativnog sustava. Time se mogu zaobići sigurnosne kontrole poput EDR-a, Secure Boot-a i enkripcije diska.
Izvor: Eclypsium

NCI upozorava na povećane prijetnje kritičnoj infrastrukturi zbog sukoba na Bliskom istoku
Zajedničko upozorenje NCI-a ističe da sukob na Bliskom istoku povećava rizik za kritičnu infrastrukturu globalno. Očekuje se porast kibernetičkih napada od strane iranskih državnih aktera, haktiVista i kriminalnih skupina povezanih s Iranom. Također postoji rizik od fizičkih napada na javne prostore i ključne sustave. Organizacije se pozivaju na povećanu pripravnost i praćenje prijetnji.
Izvor: NCI Advisory

Poisoned Typeface pokazuje kako fontovi mogu kompromitirati AI sustave
Istraživači su pokazali kako se pomoću prilagođenih fontova i CSS-a mogu sakriti zlonamjerne upute koje korisnik vidi u pregledniku, dok AI sustavi analiziraju bezopasan sadržaj. Ova tehnika omogućuje prompt injection i potencijalno izvođenje zlonamjernog koda ili curenje podataka, a pogođeni su svi testirani AI asistenti.
Izvor: LayerX Security

Kritična ranjivost u File Browseru automatski dodjeljuje admin prava
Ranjivost CVE-2026-32760 s maksimalnim CVSS rezultatom 10 omogućuje da svaki novi korisnik automatski dobije administratorske privilegije. Propust u logici registracije može dovesti do potpunog preuzimanja sustava bez tehničkog znanja napadača.
Izvor: SecurityOnline

LeakNet ransomware koristi ClickFix i Deno za prikrivene napade
LeakNet ransomware koristi ClickFix tehniku za početni pristup i open source Deno runtime za izvršavanje zlonamjernog koda direktno u memoriji. Time se smanjuje broj tragova na disku i otežava detekcija napada.
Izvor: BleepingComputer

Authlib ranjivosti omogućuju krivotvorenje tokena i zaobilaženje autentikacije
Tri kritične ranjivosti u Authlib biblioteci mogu omogućiti napadačima zaobilaženje autentikacije, krivotvorenje JWT tokena i dešifriranje osjetljivih podataka. S obzirom na široku upotrebu biblioteke, rizik za globalnu infrastrukturu je značajan.
Izvor: SecurityOnline

Google zakrpao dva Chrome zero day propusta koji su se aktivno iskorištavali
Google je objavio sigurnosne zakrpe za dvije zero day ranjivosti u Chromeu koje su se aktivno iskorištavale u stvarnim napadima. Propusti utječu na komponente Skia i V8. Obje ranjivosti otkrivene su i prijavljene od strane Googlea 10. ožujka 2026., a dodatni tehnički detalji o načinu iskorištavanja i napadačima nisu objavljeni kako bi se spriječila daljnja zloupotreba.
Izvor: The Hacker News

Storm 2561 koristi SEO poisoning za distribuciju lažnih VPN klijenata i krađu vjerodajnica
Microsoft je identificirao kampanju krađe vjerodajnica u kojoj napadači distribuiraju lažne VPN klijente putem SEO poisoning tehnike. Korisnici koji pretražuju legitimni enterprise softver preusmjeravaju se na zlonamjerne ZIP datoteke na napadačkim web stranicama koje instaliraju digitalno potpisane trojance prerušene u pouzdane VPN klijente. Aktivnost se pripisuje kibernetičkoj kriminalnoj skupini Storm 2561 koja je aktivna od svibnja 2025.
Izvor: Microsoft Security Blog

400 tisuća WordPress stranica pogođeno SQL injection ranjivošću u Ally pluginu
SQL injection ranjivost otkrivena u WordPress pluginu Ally, koji ima više od 400 tisuća aktivnih instalacija, može se iskoristiti za izvlačenje osjetljivih podataka iz baze, uključujući hashirane lozinke. Ranjivost je prijavljena kroz Wordfence Bug Bounty program samo pet dana nakon što je uvedena u kod, što naglašava brzinu kojom sigurnosni propusti mogu biti identificirani i iskorišteni.
Izvor: Wordfence

Veeam upozorava na kritične ranjivosti koje omogućuju RCE napade na backup servere
Veeam je zakrpao više sigurnosnih propusta u svom rješenju Backup and Replication, uključujući četiri kritične ranjivosti koje omogućuju remote code execution. Tri ranjivosti omogućuju korisnicima s niskim privilegijama u domeni izvršavanje koda na ranjivim backup serverima, čime se otvara mogućnost kompromitacije sustava koji čuvaju ključne kopije podataka.
Izvor: BleepingComputer

Glassworm ponovno napada koristeći nevidljive Unicode znakove u GitHub i npm repozitorijima
Istraživači su zabilježili novi val aktivnosti prijetnje Glassworm koja koristi skrivene Unicode znakove za kompromitiranje GitHub repozitorija, npm paketa i VS Code ekosustava. Tehnika omogućuje ubacivanje zlonamjernog koda koji ostaje skriven tijekom pregleda koda, a pogođeni su i repozitoriji poznatih projekata. Kampanja predstavlja nastavak ranijih operacija koje su koristile slične tehnike za kompromitiranje open source ekosustava.
Izvor: Aikido Security

Kritične n8n ranjivosti omogućile su preuzimanje servera
Dvije kritične ranjivosti u n8n sustavu mogle su se iskoristiti za neautentificirano udaljeno izvršavanje koda i bijeg iz sandbox okruženja, čime su bili izloženi svi podaci i vjerodajnice pohranjeni u n8n bazi. Prva ranjivost, označena kao CVE-2026-27493 s CVSS ocjenom 9.5, opisana je kao second order expression injection problem u Form čvorovima open source platforme za automatizaciju radnih tokova. Uspješna eksploatacija mogla je omogućiti napadaču umetanje proizvoljnih naredbi u polje Name i primitak izlaza izvršene naredbe.
Izvor: SecurityWeek

Iranski MOIS akteri i veza s kibernetičkim kriminalom
Dugo su iranski akteri pokušavali prikriti državne aktivnosti stvaranjem dojma običnog kibernetičkog kriminala, najčešće predstavljajući se kao ransomware operateri. Trend koji se sada uočava ide korak dalje. Umjesto pukog preuzimanja kriminalnih i haktivističkih identiteta radi otežavanja atribucije, pojedini iranski akteri izgleda se povezuju sa samim kibernetičko kriminalnim ekosustavom te koriste njegov malware, infrastrukturu i mehanizme slične affiliate modelu. Ova promjena je važna jer ne poboljšava samo mogućnost poricanja, nego i širi operativni doseg te tehničke sposobnosti. Check Point u ovom tekstu analizira više slučajeva koji odražavaju ovu evoluciju, uključujući korištenje ransomware brendiranja, komercijalnih infostealera i preklapanja s kriminalnim malware klasterima.
Izvor: Check Point Research

Pojačana špijunska aktivnost protiv meta na Bliskom istoku povezana s ratom u Iranu
Proofpoint navodi da su nakon američko izraelskih udara 28. veljače 2026. i naknadnih iranskih odmazdi zabilježene pojačane špijunske aktivnosti usmjerene na mete na Bliskom istoku. Dok su različite iranske haktivističke skupine preuzele odgovornost za ometajuće operacije, iranske špijunske skupine ostale su djelomično aktivne unatoč gašenju interneta u Iranu odmah nakon početka napada. Primjerice, 8. ožujka uočena je credential phishing aktivnost skupine TA453 usmjerena na američki think tank, pri čemu je komunikacija započela prije samog izbijanja sukoba, što upućuje na nastavak prioritizirane obavještajne aktivnosti prema tradicionalnim metama.
Izvor: Proofpoint

WordPress kompromitacije pogone globalnu operaciju krađe podataka
Rapid7 Labs identificirao je široko rasprostranjenu i aktivnu kompromitaciju legitimnih i potencijalno vrlo pouzdanih WordPress stranica koje nepoznati akter koristi za umetanje ClickFix implantata koji se predstavlja kao Cloudflare provjera da je korisnik čovjek. Mamac je osmišljen kako bi zarazio posjetitelje višefaznim malware lancem koji na kraju krade i eksfiltrira vjerodajnice i digitalne novčanike s Windows sustava. Ukradeni podaci potom se mogu iskoristiti za financijsku krađu ili za daljnje i ciljane napade na organizacije.
Izvor: Rapid7

Australija, Novi Zeland i Tonga upozoravaju na rastuće INC Ransom napade na pacifičke mreže
Kibernetičke agencije diljem pacifičke regije upozoravaju na širenje aktivnosti ransomware skupine INC Ransom i rastući utjecaj njezine affiliate mreže. Zajedničko upozorenje koje su objavili ACSC, CERT Tonga i novozelandski NCSC ističe da je INC Ransom ekosustav postao aktivna prijetnja organizacijama u Australiji, Novom Zelandu i pacifičkim otočnim državama. Posebno se naglašava distribuirani affiliate model koji omogućuje širokom rasponu kibernetičkih kriminalaca provođenje napada korištenjem zajedničkih alata i infrastrukture.
Izvor: Cyble

Zlonamjerni Packagist paketi prerušeni u Laravel alate isporučuju šifrirani RAT
Istraživači su otkrili remote access trojan distribuiran kroz više Packagist paketa koji se predstavljaju kao Laravel alati. Paketi nhattuanbl/lara-helper i nhattuanbl/simple-queue sadrže identičan zlonamjerni payload, dok treći paket automatski instalira RAT putem ovisnosti. Kampanja pokazuje kako napadači iskorištavaju supply chain rizike unutar PHP developerskog ekosustava kroz pouzdane repozitorije paketa.
Izvor: Socket

APT skupina Silver Dragon cilja organizacije u jugoistočnoj Aziji i Europi
Check Point prati APT skupinu Silver Dragon za koju se vjeruje da djeluje unutar šire kineske APT41 infrastrukture. Napadi su usmjereni na organizacije u Europi i jugoistočnoj Aziji, a početni pristup ostvaruje se iskorištavanjem javno dostupnih servera i phishing porukama s malicioznim privicima. Za održavanje pristupa napadači preuzimaju legitimne Windows servise kako bi se zlonamjerni procesi stopili s normalnim radom sustava.
Izvor: Check Point Research

Kritična FreeScout ranjivost omogućuje potpuno kompromitiranje servera
Kritična ranjivost u open source help desk platformi FreeScout označena kao CVE-2026-28289 omogućuje zero click remote code execution. Propust predstavlja zaobilaženje ranije zakrpane ranjivosti i omogućuje napadaču manipulaciju obradom datoteka putem zlonamjernog .htaccess upload-a, što može rezultirati potpunim kompromitiranjem servera.
Izvor: SecurityWeek

Ranjivost u VMware Aria Operations sustavu aktivno se iskorištava
CISA upozorava da se CVE-2026-22719, ranjivost visoke razine ozbiljnosti u VMware Aria Operations sustavu, aktivno iskorištava u napadima. Riječ je o command injection propustu koji omogućuje neautentificiranim napadačima izvršavanje proizvoljnih naredbi tijekom procesa migracije proizvoda uz podršku tehničke podrške, što može dovesti do remote code executiona.
Izvor: SecurityWeek

Kritična RCE ranjivost u Qwik frameworku omogućuje preuzimanje servera
Ranjivost označena kao CVE-2026-27971 u web frameworku Qwik omogućuje napadaču preuzimanje kontrole nad serverom jednim posebno oblikovanim zahtjevom. Propust se nalazi u server side komunikacijskom sloju frameworka i predstavlja ozbiljan rizik za aplikacije izgrađene na toj platformi jer omogućuje remote code execution.
Izvor: SecurityOnline

Zlouporaba OAuth preusmjeravanja omogućuje phishing i isporuku malvera
Microsoft je uočio aktivnosti gdje napadači zloupotrebljavaju OAuth mehanizme preusmjeravanja koji su po dizajnu predviđeni za autentifikacijske tokove. Kampanje ciljaju vladine i javne organizacije te koriste tihe OAuth tokove i namjerno neispravne scopeove kako bi preusmjerile žrtve na napadačku infrastrukturu bez krađe tokena. Microsoft Defender je detektirao korelirane signale kroz email, identitet i endpoint, a Microsoft Entra je onemogućio uočene OAuth aplikacije, uz napomenu da povezane aktivnosti i dalje zahtijevaju nadzor.
Izvor: Microsoft Security Blog

Neizravna prompt injekcija u AI agentima uočena u stvarnim napadima
Unit 42 opisuje uočene slučajeve neizravne prompt injekcije, gdje napadači ubacuju skrivene ili manipulirane upute u web sadržaj koji kasnije obrađuje LLM ili agent. Umjesto izravne interakcije s modelom, napad se oslanja na funkcije poput sažimanja stranica ili analize sadržaja, pa model nenamjerno izvršava napadačke upute. Utjecaj raste s razinom privilegija i osjetljivošću sustava u koji je agent integriran, a objavljen je i primjer izbjegavanja AI pregleda oglasa.
Izvor: Unit 42

Amazon potvrdio oštećenja AWS podatkovnih centara nakon napada dronovima i šire ispade
Amazon je potvrdio da su tri AWS podatkovna centra u Ujedinjenim Arapskim Emiratima i jedan u Bahreinu oštećeni u napadima dronovima, što je uzrokovalo opsežan prekid rada koji pogađa više cloud usluga. Prema navodima, incident je poremetio AWS Middle East UAE regiju ME CENTRAL 1 i AWS Middle East Bahrain regiju ME SOUTH 1, a kontekst se povezuje s eskalacijom regionalnog sukoba i odmazdom nakon vojnih udara.Izvor: BleepingComputer

SloppyLemming cilja vlade Pakistana i Bangladeša s dva lanca isporuke malvera
Napadačka aktivnost SloppyLemming povezana je s napadima na državne entitete i operatore kritične infrastrukture u Pakistanu i Bangladešu. Prema Arctic Wolfu, aktivnosti su trajale od siječnja 2025 do siječnja 2026 i koristile dva odvojena lanca napada za isporuku BurrowShell malvera i keyloggera napisanog u Rustu. Izvještaj navodi da Rust predstavlja evoluciju u alatu skupine u odnosu na ranije primijećene tehnike i alate poput Cobalt Strikea, Havoca i vlastitog NekroWire RATa.
Izvor: The Hacker News

Google potvrdio da je iskorištavana ranjivost u Qualcomm Android komponenti
Google je objavio da je ranjivost CVE 2026 21385 u open source Qualcomm komponenti korištenoj u Android uređajima iskorištavana u stvarnim napadima. Propust je klasificiran kao buffer over read u grafičkoj komponenti, a Qualcomm ga opisuje kao problem memorijske korupcije povezan s integer overflowom. Navodi se da je ranjivost prijavljena 18. prosinca 2025, a korisnici su obaviješteni 2. veljače 2026.
Izvor: The Hacker News

Ranjivost u Chrome Gemini panelu omogućila preuzimanje kontrole putem ekstenzija
Istraživači su otkrili CVE-2026-0628, ranjivost visoke razine ozbiljnosti u implementaciji Gemini Live funkcionalnosti u Google Chromeu. Propust je mogao omogućiti zlonamjernim ekstenzijama s osnovnim dozvolama preuzimanje kontrole nad Gemini panelom i pristup lokalnim datotekama, što bi moglo dovesti do eskalacije privilegija. Google je ranjivost zakrpao početkom siječnja prije javne objave.
Izvor: Unit 42

APT28 povezan s MSHTML zero day ranjivošću iskorištavanom prije Patch Tuesday nadogradnje
Rusiji povezana skupina APT28 navodno je iskorištavala CVE-2026-21513, ranjivost u MSHTML Frameworku s CVSS ocjenom 8.8, prije nego što je zakrpana u Microsoftovom Patch Tuesday ažuriranju u veljači 2026. Propust je omogućavao zaobilaženje sigurnosnih mehanizama putem mreže i mogao je biti korišten u ciljanim napadima.
Izvor: SecurityWeek

StegaBin kampanja koristi zlonamjerne npm pakete i Pastebin steganografiju
Otkriveno je 26 zlonamjernih npm paketa koji provode višefaznu operaciju krađe vjerodajnica usmjerenu na developere. Kampanja nazvana StegaBin skriva command and control infrastrukturu unutar Pastebin sadržaja koristeći steganografiju na razini znakova. Infekcija završava instalacijom remote access trojana i devet modula za krađu podataka, uključujući SSH ključeve, git repozitorije, pregledničke vjerodajnice i lokalno pohranjene tajne podatke.
Izvor: Socket

Tisuće Google Cloud API ključeva javno izložene s pristupom Gemini servisima
Istraživanje je otkrilo gotovo 3.000 javno dostupnih Google Cloud API ključeva ugrađenih u klijentski kod. Iako se obično koriste kao identifikatori projekata za naplatu, ti ključevi mogli su se zloupotrijebiti za autentifikaciju prema osjetljivim Gemini endpointovima i pristup privatnim podacima nakon aktivacije API funkcionalnosti.
Izvor: The Hacker News

ClawJacked propust omogućio preuzimanje lokalnih OpenClaw AI agenata
Ranjivost visoke razine ozbiljnosti u OpenClaw sustavu omogućavala je zlonamjernim web stranicama povezivanje s lokalno pokrenutim AI agentom putem WebSocket gatewaya vezanog na localhost. U kombinaciji sa socijalnim inženjeringom, napadači su mogli preuzeti kontrolu nad agentom bez dodatnih plugina ili ekstenzija. Propust je u međuvremenu zakrpan.
Izvor: The Hacker News