Threat Advisories

GitHub har bekräftat obehörig åtkomst och exfiltrering av cirka 3 800 av sina interna utvecklingsarkiv. Intrånget orkestrerades av den ekonomiskt motiverade cyberbrottsgruppenTeamPCP, som utnyttjade en trojaniserad Microsoft Visual Studio Code (VS Code) -tillägg installerad på en privilegierad anställds enhet.

Microsofts Patch Tuesday-uppdatering för Windows 10 i maj 2026, KB5087544, återspeglar den nuvarande verkligheten för plattformen. Nu är Windows 10 fast i sin Extended Security Updates-fas och utvecklas inte längre genom funktioner, men det säkras och underhålls fortfarande aktivt. Den här uppdateringen kombinerar en stor uppsättning sårbarhetsfixar med riktade ändringar av Remote Desktop och Secure Boot som avslöjar hur Microsoft skärper kontrollen över slutpunktens förtroende och stabilitet.

Fortinet har avslöjat två kritiska sårbarheter som påverkar FortiSandbox och FortiAuthenticator som kan möjliggöra oautentiserad fjärrkodkörning (RCE) på exponerade system.

Trellix har meddelat att intern källkod för delar av bolagets produktportfölj har åtkommits utan tillstånd. Det påverkade materialet avser endast produktutvecklingskod och inkluderar inte kundmiljöer eller kunddata. Det finns ingen indikation på skadlig modifiering av släppta mjukvaruartefakter.

CVE 2026 31431, allmänt känd som "Copy Fail", är en mycket allvarlig lokal sårbarhet för privilegieeskalering som påverkar Linux-kärnan. Problemet påverkar kärnor som levereras av alla större Linux-distributioner sedan 2017 och gör det möjligt för en lokal, icke-privilegierad användare att få körning på rotnivå på värdsystemet.

I slutet av mars 2026 hävdade en hotaktör som arbetar under aliaset "The_Auditors" att han hade brutit sig in i BlackLine Systems, en USA-baserad leverantör av programvara för finansiell automatisering och redovisning. Angriparen påstår sig ha exfiltrerat cirka 354 GB känsliga finansiella och operativa dokument, enligt uppgift totalt över 1,5 miljoner poster som inte bara tillhör BlackLine utan även dess företagskunder. I skrivande stund har BlackLine inte offentligt bekräftat ett intrång, och påståendena förblir obekräftade. Flera underrättelseföretag inom cybersäkerhet har dock bedömt anklagelserna som trovärdiga baserat på flera indikatorer.

En ny och aktiv npm-försörjningskedjeattack har observerats som missbrukar komprometterade underhållsuppgifter för att själv sprida skadlig kod över paket i Node.js-ekosystemet. Den skadliga koden stjäl autentiseringsmaterial (npm-tokens, molnuppgifter, CI/CD-hemligheter, SSH-nycklar och plånboksdata) och använder alla upptäckta publiceringstoken för att injicera sig i ytterligare paket som ägs av samma underhållare, vilket skapar maskliknande lateral spridning.

U.S. Cybersecurity and Infrastructure Security Agency (CISA) har bekräftat aktivt utnyttjande av en höggradig sårbarhet för fjärrkörning av kod (RCE) i Apache ActiveMQ Classic, spårad som CVE-2026-34197. Bristen har lagts till i CISA:s katalog över kända exploaterade sårbarheter (KEV), vilket signalerar verifierad skadlig aktivitet i naturen och höjer åtgärdsprioriteten för alla organisationer som använder berörda versioner av ActiveMQ

Microsoft Exchange Server är fortfarande etthögvärdigtmål för hotaktörer på grund av dess djupa integration med företagets identitetssystem, e-postinfrastruktur och privilegierade servicekonton. Remote Code Execution (RCE)-sårbarheter i Exchange har historiskt utnyttjats förstorskaligaspionagekampanjer, ransomware-distribution och ihållande åtkomstoperationer.

En kritisk attack i leverantörskedjan har drabbat det välanvända JavaScript-biblioteket Axios efter att den primära underhållarens npm-konto har äventyrats. Hotaktörer använde det kapade kontot för att publicera två skadliga versioner, axios@1.14.1 och axios@0.30.4, som introducerade ett oseriöst beroende (plain-crypto-js@4.2.1). Detta beroende var inte en del av den legitima Axios-kodbasen och existerade enbart för att köra ett postinstallationsskript som distribuerade en plattformsoberoende Remote Access Trojan (RAT).