Threat Advisories

Trellix har meddelat att intern källkod för delar av bolagets produktportfölj har åtkommits utan tillstånd. Det påverkade materialet avser endast produktutvecklingskod och inkluderar inte kundmiljöer eller kunddata. Det finns ingen indikation på skadlig modifiering av släppta mjukvaruartefakter.

CVE 2026 31431, allmänt känd som "Copy Fail", är en mycket allvarlig lokal sårbarhet för privilegieeskalering som påverkar Linux-kärnan. Problemet påverkar kärnor som levereras av alla större Linux-distributioner sedan 2017 och gör det möjligt för en lokal, icke-privilegierad användare att få körning på rotnivå på värdsystemet.

I slutet av mars 2026 hävdade en hotaktör som arbetar under aliaset "The_Auditors" att han hade brutit sig in i BlackLine Systems, en USA-baserad leverantör av programvara för finansiell automatisering och redovisning. Angriparen påstår sig ha exfiltrerat cirka 354 GB känsliga finansiella och operativa dokument, enligt uppgift totalt över 1,5 miljoner poster som inte bara tillhör BlackLine utan även dess företagskunder. I skrivande stund har BlackLine inte offentligt bekräftat ett intrång, och påståendena förblir obekräftade. Flera underrättelseföretag inom cybersäkerhet har dock bedömt anklagelserna som trovärdiga baserat på flera indikatorer.

En ny och aktiv npm-försörjningskedjeattack har observerats som missbrukar komprometterade underhållsuppgifter för att själv sprida skadlig kod över paket i Node.js-ekosystemet. Den skadliga koden stjäl autentiseringsmaterial (npm-tokens, molnuppgifter, CI/CD-hemligheter, SSH-nycklar och plånboksdata) och använder alla upptäckta publiceringstoken för att injicera sig i ytterligare paket som ägs av samma underhållare, vilket skapar maskliknande lateral spridning.

U.S. Cybersecurity and Infrastructure Security Agency (CISA) har bekräftat aktivt utnyttjande av en höggradig sårbarhet för fjärrkörning av kod (RCE) i Apache ActiveMQ Classic, spårad som CVE-2026-34197. Bristen har lagts till i CISA:s katalog över kända exploaterade sårbarheter (KEV), vilket signalerar verifierad skadlig aktivitet i naturen och höjer åtgärdsprioriteten för alla organisationer som använder berörda versioner av ActiveMQ

Microsoft Exchange Server är fortfarande etthögvärdigtmål för hotaktörer på grund av dess djupa integration med företagets identitetssystem, e-postinfrastruktur och privilegierade servicekonton. Remote Code Execution (RCE)-sårbarheter i Exchange har historiskt utnyttjats förstorskaligaspionagekampanjer, ransomware-distribution och ihållande åtkomstoperationer.

Google har släppt akuta säkerhetsuppdateringar som adresserar CVE20265281, en hög allvarlighetsgrad (CVSS-poäng: N/A), aktivt utnyttjad nolldag som påverkar webbläsaren Chrome.

En kritisk attack i leverantörskedjan har drabbat det välanvända JavaScript-biblioteket Axios efter att den primära underhållarens npm-konto har äventyrats. Hotaktörer använde det kapade kontot för att publicera två skadliga versioner, axios@1.14.1 och axios@0.30.4, som introducerade ett oseriöst beroende (plain-crypto-js@4.2.1). Detta beroende var inte en del av den legitima Axios-kodbasen och existerade enbart för att köra ett postinstallationsskript som distribuerade en plattformsoberoende Remote Access Trojan (RAT).

LiteLLM är ett mycket populärt Python-bibliotek och proxyserver med öppen källkod som tillhandahåller ett enhetligt gränssnitt för anrop av över 100 Large Language Model (LLM) API:er, t.ex. OpenAI, Anthropic, Bedrock och VertexAI, med hjälp av OpenAI:s standardformat för in- och utdata. Det förenklar integrationen av flera LLM och erbjuder funktioner som automatiska fallbacks, omförsök och kostnadsspårning. Eftersom det fungerar som en API-gateway, fungerar det som en referensaggregator genom design, och håller API-nycklar för olika LLM-leverantörer på ett säkert sätt.

CVE202620963 publicerades ursprungligen i januari 2026, men har nyligen fått förnyad uppmärksamhet på grund av bekräftad aktiv exploatering.