Lov na OpenClaw izloženosti: CVE-2026-25253 u javno dostupnim AI agent gatewayima
Kao odgovor na nedavno objavljenu ranjivost CVE-2026-25253, istraživački tim analizirao je kako se ova slabost pojavljuje u stvarnim okruženjima i što se može identificirati na razini cijelog interneta korištenjem Hunt[.]io platforme. Analiza se fokusirala na javno izložene frameworke za automatizaciju preglednika pogođene CVE-2026-25253, uključujući OpenClaw i njegove forkove Clawdbot i Moltbot, koji izlažu web sučelja za upravljanje i pohranjuju API vjerodajnice za više AI servisa. Kada se implementiraju bez odgovarajućih kontrola pristupa, ova sučelja su izravno dostupna s javnog interneta.
Izvor: Hunt.io

Novi ClickFix varijant “CrashFix” isporučuje Python RAT
U siječnju 2026. Microsoft Defender Experts identificirali su novu evoluciju kampanje ClickFix. Ažurirana taktika namjerno ruši preglednike žrtava, a zatim pokušava navesti korisnike da izvrše zlonamjerne naredbe pod izlikom vraćanja normalne funkcionalnosti. Ova varijanta predstavlja značajnu eskalaciju ClickFix tehnika, kombinirajući ometanje korisnika i socijalni inženjering kako bi se povećala uspješnost izvršavanja uz smanjeno oslanjanje na klasične exploit tehnike. Novi obrazac ponašanja nazvan je CrashFix te odražava širi porast socijalnog inženjeringa temeljenog na preglednicima, zloupotrebe legitimnih OS alata i Python payloadova.
Izvor: Microsoft Security Blog

Brew Hijack: isporuka malwarea kroz Homebrew core tap
Istraživanje je pokazalo da se unutar Homebrew core cask sustava i dalje mogu pronaći paketi koji se preuzimaju putem nekriptiranog HTTP protokola bez ikakve provjere integriteta. Otkriveno je 20 caskova u službenom Homebrew repozitoriju koji su podložni trivijalnim man-in-the-middle napadima, bez potrebe za exploitima ili povišenim privilegijama. To omogućuje napadačima na mrežnom putu da zamijene legitimne pakete zlonamjernim sadržajem.
Izvor: Koi.ai

Eksploatacija React Server Componentsa konsolidirana na dva IP izvora
Dva mjeseca nakon objave ranjivosti CVE-2025-55182, aktivnost iskorištavanja React Server Components značajno se konsolidirala. Telemetrija GreyNoisea pokazuje da dva IP izvora sada generiraju 56% svih zabilježenih pokušaja eksploatacije, u usporedbi s ranijih više od tisuću jedinstvenih izvora. Dominantni izvori koriste različite post-eksploatacijske payloadove, uključujući isporuku kriptomajnera i otvaranje reverse shell veza, što ukazuje na organiziranije i ciljanije operacije.
Izvor: GreyNoise

Sigurnosni incident u Flickru povezan s vanjskim e-mail sustavom
Platforma za dijeljenje fotografija Flickr obavijestila je korisnike o sigurnosnom incidentu koji je doveo do izlaganja osobnih podataka. Incident je povezan s ranjivošću u sustavu vanjskog pružatelja e-mail usluga, koja je mogla omogućiti neovlašteni pristup korisničkim informacijama. Izloženi podaci uključuju imena, e-mail adrese, korisnička imena, tipove računa, IP adrese, opću lokaciju i podatke o aktivnosti na Flickru. Pristup pogođenom sustavu ugašen je u roku od nekoliko sati od saznanja za incident.
Izvor: SecurityWeek_