Vercel je otkrio dodatne kompromitirane račune u incidentu povezanom s Context.ai
Vercel je objavio da je tijekom proširene istrage otkrio dodatni skup pogođenih korisničkih računa nakon pregleda novih indikatora kompromitacije i pristupa varijablama okruženja. Incident je krenuo od kompromitacije povezane s Context.ai i pokazuje kako izloženost kroz identitete i OAuth aplikacije treće strane može prerasti u problem za cijelu cloud platformu.
Izvor: Vercel

Bitwarden CLI kompromitiran u tekućoj Checkmarx supply chain kampanji
Zlonamjerni npm paket kratko je bio distribuiran kao @bitwarden/cli verzija 2026.4.0 i sadržavao je logiku za krađu vjerodajnica te širenje prema CI okruženjima. Bitwarden navodi da je utjecaj ograničen na taj kompromitirani CLI release te da nema dokaza o kompromitaciji korisničkih vault podataka ili produkcijskih sustava.
Izvor: JFrog

Kina koristi skrivene mreže sastavljene od kompromitiranih rubnih uređaja
CISA i NCSC upozorili su da akteri povezani s Kinom sve češće koriste covert mreže sastavljene od kompromitiranih routera i drugih rubnih uređaja za izviđanje, isporuku, upravljanje i eksfiltraciju podataka. Upozorenje naglašava jeftin i lako prilagodljiv infrastrukturni model koji brzo mijenja oblik i time slabi vrijednost statičnog blokiranja.
Izvor: CISA

UAT 4356 nastavlja ciljati Cisco Firepower uređaje pomoću FIRESTARTER backdoora
Cisco Talos izvijestio je o nastavku aktivnosti protiv Firepower uređaja koji koriste FXOS, pri čemu UAT 4356 iskorištava n day ranjivosti i postavlja FIRESTARTER backdoor. Time mrežni perimetarski uređaji postaju izravna meta za špijunažu i dugotrajnu prisutnost napadača.
Izvor: Cisco Talos

Breeze Cache WordPress dodatak aktivno se iskorištava za učitavanje datoteka
Napadači aktivno iskorištavaju kritičan propust u Breeze Cache dodatku koji omogućuje neautentificirano učitavanje datoteka i može dovesti do udaljenog izvršavanja koda na ranjivim WordPress stranicama. Za iskorištavanje mora biti uključena određena opcija dodatka, ali prijelaz s objave propusta na stvarne napade ovu temu stavlja u hitan prioritet.
Izvor: BleepingComputer

Marimo RCE dodan je u KEV dok se eksploatacija nastavlja
CISA je dodala CVE-2026-39987 u marimu u Known Exploited Vulnerabilities katalog nakon što su napadači prešli s objave na eksploataciju unutar samo nekoliko sati. Propust omogućuje udaljeno izvršavanje koda bez autentifikacije na izloženim notebook instancama, a već je povezan i s daljnjom malware aktivnošću.
Izvor: CISA

BRIDGE:BREAK propusti izlažu serial to IP pretvarače u OT i zdravstvenim sustavima
Istraživači su objavili 22 ranjivosti u Lantronix i Silex serial to IP pretvaračima te identificirali tisuće javno izloženih uređaja. Budući da ti uređaji često povezuju starije serijske sustave s modernim mrežama, kompromitacija može omogućiti manipulaciju podacima, lateralno kretanje i prekide rada u OT i zdravstvenim okruženjima.
Izvor: Forescout

Void Dokkaebi pretvara lažne razgovore za posao u napade na developerski lanac opskrbe
Trend Micro navodi da skupina Void Dokkaebi povezana sa Sjevernom Korejom i dalje koristi lažne recruiterske procese kako bi navela developere na pokretanje zlonamjernih repozitorija. Važan pomak je to što jedno kompromitirano developersko računalo može postati polazište za trovanje internih repozitorija i daljnje širenje kroz legitimne doprinose kodu.
Izvor: Trend Micro

GopherWhisper zloupotrebljava Slack, Discord i Outlook u napadima na Mongoliju
ESET je objavio detalje o dosad nepoznatoj skupini povezanoj s Kinom pod nazivom GopherWhisper koja cilja mongolske državne institucije. Akteri koriste alatni skup pisan u Gou i legitimne cloud servise poput Slacka, Discorda, Outlooka i file.io za upravljanje i eksfiltraciju, čime zlonamjerni promet lakše stapaju s normalnim radom sustava.
Izvor: ESET

Device code phishing dosegao je 7 milijuna napada u četiri tjedna
Barracuda navodi da je u samo četiri tjedna zabilježila više od 7 milijuna device code phishing napada, što pokazuje brz rast OAuth preuzimanja računa. Tehnika zloupotrebljava legitimne tokove prijave za uređaje kako bi napadač dobio trajno odobren pristup bez klasične krađe i ponovne upotrebe lozinke.
Izvor: Barracuda

Kritičan propust u protobuf.js omogućuje izvršavanje JavaScript koda
Javno je objavljen proof of concept za kritičan protobuf.js propust koji može dovesti do izvršavanja JavaScript koda zbog nesigurnog dinamičkog generiranja koda. Budući da se biblioteka široko koristi u Node.js aplikacijama i cloud okruženjima, potencijalni doseg problema znatno je širi od tipične ranjivosti u jednom paketu.
Izvor: BleepingComputer

Kritičan SGLang RCE omogućuje izvršavanje koda kroz zlonamjerne GGUF modele
Kritična ranjivost označena kao CVE-2026-5760 može omogućiti udaljeno izvršavanje koda na SGLang sustavima kroz posebno pripremljene GGUF model datoteke. Problem je važan zato što je SGLang popularan sloj za posluživanje LLM i multimodalnih radnih opterećenja, pa izravno pogađa AI infrastrukturu.
Izvor: The Hacker News

Lotus Wiper cilja energetski i komunalni sektor u Venezueli
Kaspersky je opisao destruktivnu kampanju koja koristi dosad nepoznati wiper pod nazivom Lotus Wiper protiv energetskog i komunalnog sektora u Venezueli. Lanac napada uključuje skripte koje pripremaju okruženje, slabe obranu i koordiniraju završnu destruktivnu fazu kroz mrežu.
Izvor: Kaspersky

ZionSiphon pokazuje OT fokus na izraelske vodne sustave
Darktrace je analizirao ZionSiphon, skup OT malware alata osmišljen za ciljanje izraelskih sustava za obradu vode i desalinizaciju. Kombinacija perzistencije, USB širenja, ICS skeniranja i logike za sabotažu povezanih s kontrolama klora i tlaka čini ga posebno važnim izvan uobičajenih IT malware priča.
Izvor: Darktrace

Akteri nadzora iskorištavaju mobilnu signalling infrastrukturu telekoma
Citizen Lab je otkrio dvije telecom nadzorne kampanje i povezao stvarni napadački promet s mobilnom signalling infrastrukturom operatora. Izvješće pokazuje kako sumnjivi komercijalni pružatelji nadzora mogu zloupotrebljavati telecom interconnect sustave za prikriveno praćenje lokacije koje može trajati godinama bez jasne vidljivosti za branitelje ili korisnike.
Izvor: Citizen