Ranjivost maksimalne ozbiljnosti Ni8mare pogađa gotovo 60.000 n8n instanci
Gotovo 60.000 n8n instanci izloženih na internetu i dalje nije zakrpano protiv ranjivosti maksimalne ozbiljnosti nazvane “Ni8mare”. n8n je open-source platforma za automatizaciju radnih tokova koja korisnicima omogućuje povezivanje različitih aplikacija i servisa putem unaprijed izrađenih konektora i vizualnog sučelja temeljenog na čvorovima, kako bi se automatizirali ponavljajući zadaci bez pisanja koda. Platforma za automatizaciju široko se koristi u razvoju umjetne inteligencije za automatizaciju ingestije podataka te izgradnju AI agenata i RAG pipelineova. Ima više od 100 milijuna preuzimanja na Docker Hubu i više od 50.000 tjednih preuzimanja na npm-u. Budući da n8n služi kao centralno čvorište za automatizaciju, često pohranjuje API ključeve, OAuth tokene, vjerodajnice baza podataka, pristup cloud pohrani, CI/CD tajne i poslovne podatke, što ga čini atraktivnom metom za prijetitelje.
Izvor: BleepingComputer

Detaljno analitičko izvješće o LockBit 5.0: način rada i protumjere
Od svog prvog pojavljivanja u rujnu 2019., LockBit je poznat kao jedna od najzloglasnijih i najaktivnijih Ransomware-as-a-Service (RaaS) grupa na svijetu. LockBit djeluje prema RaaS modelu i karakteriziraju ga sofisticirana enkripcijska tehnologija i automatizirane mogućnosti širenja. Početni pristup najčešće se ostvaruje iskorištavanjem ranjivosti, brute force napadima, phishingom ili procurjelim pristupnim podacima, a napad slijedi trofazni proces: početni pristup, lateralno kretanje i eskalacija privilegija te implementacija ransomwarea. Grupa također koristi alat Stealbit za eksfiltraciju podataka. Od kolovoza 2021. do kolovoza 2022. LockBit je činio 30,25% poznatih ransomware napada, a 2023. godine oko 21% napada. Iznosi ucjena i troškovi oporavka rezultirali su gubicima od više milijardi dolara. Unatoč naporima tijela za provedbu zakona, LockBit i dalje predstavlja ozbiljnu prijetnju kibernetičkoj sigurnosti diljem svijeta. Ransomware grupa LockBit 5.0 upravlja DLS web stranicom koja navodi kompanije koje su uspješno kompromitirane. Iako na popisu nema južnokorejskih tvrtki, identificirane su brojne strane žrtve. Grupa je izvela ransomware napade na organizacije iz širokog spektra industrija, uključujući IT, elektroniku, odvjetničke urede i crkve.
Izvor: AhnLab ASEC

Prijetiteljski akteri aktivno ciljaju LLM sustave
Naša Ollama honeypot infrastruktura zabilježila je 91.403 napadačke sesije između listopada 2025. i siječnja 2026. Skriveni unutar tih podataka nalaze se dvije zasebne kampanje koje otkrivaju kako prijetiteljski akteri sustavno mapiraju rastuću površinu napada AI implementacija. GreyNoise korisnici zaprimili su Executive Situation Report (SITREP) koji uključuje IOC-e i druge vrijedne obavještajne podatke iz ove istrage. Korisnici trebaju provjeriti svoje sandučiće. Prva kampanja iskorištavala je ranjivosti server-side request forgery (SSRF), tehnike koje prisiljavaju poslužitelj na uspostavljanje izlaznih veza prema infrastrukturi pod kontrolom napadača. Kampanja je trajala od listopada 2025. do siječnja 2026., s dramatičnim porastom tijekom božićnog razdoblja – 1.688 sesija u 48 sati. Napadači su koristili ProjectDiscovery OAST (Out-of-band Application Security Testing) infrastrukturu za potvrdu uspješne SSRF eksploatacije putem callback validacije.
Izvor: GreyNoise

Kritične ranjivosti u React Routeru: CVE-2025-61686 omogućuje pristup datotekama poslužitelja
Programeri koji se oslanjaju na popularnu biblioteku React Router pozivaju se da odmah zakrpaju svoje aplikacije nakon otkrivanja više ranjivosti visoke ozbiljnosti. Ranjivosti, koje uključuju neautorizirani pristup datotekama i Cross-Site Scripting (XSS), ugrožavaju integritet web aplikacija koje koriste react-router i @remix-run ekosustave. Najkritičnija među njima, označena kao CVE-2025-61686, nosi razornu CVSS ocjenu 9.1. Ova ranjivost pogađa samu srž upravljanja sesijama i potencijalno omogućuje napadačima kompromitaciju datotečnog sustava poslužitelja.
Izvor: SecurityOnline

Ponovno rođeni u Rustu: Muddy Water razvija alate s implantom RustyWater
CloudSEK-ov TRIAD nedavno je identificirao spearphishing kampanju pripisanu APT grupi Muddy Water koja cilja više sektora na Bliskom istoku, uključujući diplomatske, pomorske, financijske i telekomunikacijske organizacije. Kampanja koristi lažiranje ikona i zlonamjerne Word dokumente za isporuku Rust baziranih implanta sposobnih za asinkroni C2, anti-analizu, perzistenciju putem registra i modularno proširenje post-kompromitacijskih sposobnosti. Povijesno gledano, Muddy Water se oslanjao na PowerShell i VBS loadere za početni pristup i post-kompromitacijske operacije. Uvođenje Rust baziranih implanta predstavlja značajnu evoluciju alata prema strukturiranijim, modularnim i niskobučnim RAT sposobnostima.
Izvor: CloudSEK