Megalodon supply chain napad kompromitirao je više od 5.000 GitHub repozitorija
Megalodon je bio jedan od najznačajnijih incidenata u developerskom ekosustavu u ovoj turi, jer su napadači u svega nekoliko sati pogurali tisuće commitova u više od 5.000 javnih GitHub repozitorija. Kampanja je ciljala GitHub Actions workflowe s ciljem krađe svih tajni dostupnih runnerima, uključujući cloud ključeve, SSH materijal i OIDC tokene.
Izvor: InfoStealers

CISA upozorava da Nx Console i GitHub supply chain upadi pogađaju CI CD okruženja
CISA je objavila da nedavni upadi u developerski ekosustav, uključujući kompromitaciju Nx Consolea i kampanju Megalodon, pokazuju da napadači aktivno zloupotrebljavaju CI CD alate, ekstenzije i workflowe. Upozorenje je važno jer ove incidente postavlja kao dio šireg obrasca, a ne kao izolirane pojedinačne slučajeve.
Izvor: CISA

GitHub rotira Enterprise Server signing key nakon napada na interne repozitorije
GitHub je objavio da je nedavno otkrio kibernetički napad i započeo rotaciju ključeva, uključujući GitHub Enterprise Server signing key. To je važan potez jer se taj ključ koristi za potvrdu autentičnosti binarnih datoteka GitHub Enterprise Servera tijekom ručnih nadogradnji.
Izvor: GitHub

Nezakrpani Gogs propust omogućuje autentificirano udaljeno izvršavanje koda
Rapid7 je objavio kritičan argument injection propust u Gogsu koji bilo kojem autentificiranom korisniku može omogućiti izvršavanje koda na poslužitelju tijekom pull request rebase procesa. U trenutku objave nije postojala službena zakrpa, što samostalno hostane Git instance čini posebno rizičnima.
Izvor: Rapid7

FortiClient EMS iskorištava se za isporuku EKZ infostealera
Arctic Wolf je primijetio napadače kako iskorištavaju CVE-2026-35616 u FortiClient EMS-u i isporučuju lažnu Fortinet zakrpu koja zapravo instalira EKZ infostealer. Malware je usmjeren na krađu vjerodajnica iz preglednika, čime slabost u enterprise upravljačkom sustavu postaje izravan kanal za masovnu krađu pristupnih podataka.
Izvor: Arctic Wolf

Ghost CMS propust iskorišten je za preuzimanje više od 700 stranica u ClickFix kampanji
Napadači su iskoristili CVE-2026-26980 u Ghost CMS-u kako bi ubacili zlonamjerni JavaScript u više od 700 stranica i nahranili ClickFix lance napada. Kampanja pokazuje kako kompromitacija legitimnih stranica napadačima daje pouzdanu infrastrukturu za široke socijalno inženjerske operacije.
Izvor: The Hacker News

Carnival je potvrdio povredu podataka koja pogađa gotovo 6 milijuna ljudi
Carnival je potvrdio veliku povredu podataka koja pogađa gotovo 6 milijuna osoba, nakon ranijih tvrdnji povezanih sa skupinom ShinyHunters. Veličina izloženosti i osjetljivost korisničkih podataka čine ovo jednom od najvažnijih potvrđenih povreda u ovoj turi.
Izvor: BleepingComputer

Silent Ransom Group socijalnim inženjeringom cilja odvjetnička društva predstavljajući se kao IT podrška
FBI i CISA upozorili su da skupina Silent Ransom Group, poznata i kao Luna Moth, cilja odvjetnička društva telefonskim pozivima i phishing emailovima uz lažno predstavljanje kao IT podrška. Nakon toga koriste legitimne alate za udaljeni pristup ili čak pokušavaju ostvariti fizički pristup kako bi izvukli podatke i izvršili iznudu.
Izvor: IC3

JOMANGY kampanja pretvara FreePBX sustave u infrastrukturu za toll fraud
Cyble je povezao aktivnu FreePBX kampanju iskorištavanja s akterom INJ3CTOR3 i naveo da operacija postavlja self healing webshellove koji uključuju stvarnu logiku za toll fraud. Opseg je značajan, s pokazateljima koji upućuju na tisuće skeniranih IP adresa i aktivnu zloupotrebu SIP trunkova žrtava za izravnu financijsku korist.
Izvor: Cyble

GlassWorm botnet je prekinut nakon višemjesečne zloupotrebe open source ekosustava
CrowdStrike, Google i Shadowserver Foundation prekinuli su GlassWorm botnet sinkroniziranim gašenjem njegovih command and control kanala. Botnet je koristio blockchain, Google Calendar, BitTorrent i VPS infrastrukturu kao rezervne kanale, što pokazuje koliko je njegov model upravljanja bio otporan prije prekida rada.
Izvor: SecurityWeek

JINX-0164 cilja crypto tvrtke kroz developere i CI CD infrastrukturu
Wiz je opisao financijski motiviranog aktera kojeg prati kao JINX-0164, a koji koristi socijalni inženjering s lažnim regrutacijskim temama, prilagođeni macOS malware i napade na CI CD okruženja unutar kripto organizacija. Kampanja je važna jer spaja kompromitaciju prijenosnih računala zaposlenika s pokušajima ulaska u sustave za distribuciju koda i razvojnu infrastrukturu.
Izvor: Wiz

Smishing operacija kroz 19 država ciljala je državne, poštanske i telekom brendove
Hunt.io je pokazao da je ono što je počelo kao imitacija rumunjskog državnog servisa zapravo dio šire smishing operacije kroz 19 država. Infrastruktura je ciljala državne portale za plaćanje, poštanske servise i telekom brendove, što ukazuje na koordiniran međunarodni fraud ekosustav, a ne lokalnu kampanju.
Izvor: Hunt.io

Lažna ChatGPT stranica za preuzimanje zaražava Windows i Mac korisnike stealerima
Malwarebytes je upozorio da lažna stranica koja oponaša ChatGPT desktop aplikaciju distribuira malware i Windows i macOS korisnicima. Windows posjetitelji dobivaju loader za krađu vjerodajnica, dok Mac korisnici dobivaju Odyssey Stealer, što pokazuje da napadači i dalje uspješno monetiziraju povjerenje u popularne AI brendove.
Izvor: Malwarebytes

GREYVIBE pokazuje kako ruski akteri uvode AI u stvarne operacije
WithSecure je povezao GREYVIBE s upornim operacijama protiv Ukrajine i s Ukrajinom povezanih meta te naveo da skupina koristi AI i u razvojnoj i u operativnoj fazi kampanja. To ga čini jednim od konkretnijih aktualnih primjera state aligned aktivnosti u kojima AI prelazi granicu eksperimentiranja i postaje stvaran operativni alat.
Izvor: WithSecure

Phisheri zloupotrebljavaju Google AppSheet obavijesti za krađu računa
Kaspersky je upozorio da napadači koriste Google AppSheet za slanje phishing poruka s legitimno izgledajućih Google povezanih adresa. Takve poruke djeluju uvjerljivije i korisnicima ih je teže prepoznati kao prijetnju jer ne dolaze s očito lažnog izvora.
Izvor: Kaspersky