Gleich zwei Lieferketten-Angriffe trafen Entwickler. Laut Socket gab sich ein npm-Paket namens „tanstack" als das bekannte TanStack aus und stahl beim Installieren still Umgebungsvariablen-Dateien wie .env, .env.local und .env.production und schickte sie an einen vom Angreifer kontrollierten Endpunkt. Die Versionen 2.0.4 bis 2.0.7 des vom Nutzer „sh20raj" gepflegten Pakets gelten als bösartig. Auf PyPI wiederum schleusten Unbekannte laut StepSecurity eine manipulierte Fassung des Pakets „elementary-data" (Version 0.23.3) ein; über eine Script-Injection-Schwachstelle in einem GitHub-Actions-Workflow wurde mittels des GITHUB_TOKEN ein signierter Release erzwungen. Betroffene sollten von einer Kompromittierung ausgehen und ihre Zugangsdaten erneuern. Auch das von SafeDep dem nordkoreanischen Akteur Famous Chollima zugeschriebene npm-Paket „js-logger-pack" reiht sich ein: Es enthält einen WebSocket-Stealer, der Krypto-Wallets, Browserdaten und Telegram-Sitzungen abgreift und einen Keylogger installiert.
Forescout meldet 1,8 Millionen exponierte RDP- und 1,6 Millionen VNC-Server im Internet. 18 Prozent der RDP-Server laufen auf End-of-Life-Windows-Versionen, über 19.000 sind weiterhin für BlueKeep (CVE-2019-0708) angreifbar, und fast 60.000 VNC-Server haben keine Authentifizierung aktiviert – darunter mehr als 670, die direkten Zugriff auf OT/ICS-Steuerungstafeln erlauben.
In OpenEMR, der nach eigenen Angaben weltweit meistgenutzten quelloffenen Plattform für elektronische Patientenakten, wurden 38 kritische Schwachstellen offengelegt und inzwischen gepatcht. Sie reichen von fehlerhaften Berechtigungsprüfungen über Cross-Site-Scripting und SQL-Injection bis zu Path Traversal. Laut AISLE hätten zwei als kritisch eingestufte Lücken (CVE-2026-24908 und CVE-2026-23627) im schlimmsten Fall zur vollständigen Datenbankkompromittierung und Remote-Code-Ausführung führen können. OpenEMR wird von über 100.000 Anbietern für mehr als 200 Millionen Patienten eingesetzt.
Auch Strafverfolger waren aktiv: In der Schweiz nahm die Polizei zehn mutmaßliche Mitglieder des Black-Axe-Netzwerks fest, darunter dessen „Regional Head" für Südeuropa; laut Europol werden ihnen Romance-Scams und Cyberbetrug mit Millionenschaden zur Last gelegt. Die ukrainische Polizei verhaftete drei Personen, die über 610.000 Roblox-Konten gehackt und für 225.000 Dollar auf russischen Webseiten verkauft haben sollen.
Huntress dokumentierte den ersten öffentlich bekannten Missbrauch des Go-Werkzeugs Komari: Angreifer nutzten gestohlene VPN-Zugangsdaten, drangen über Impackets smbexec.py auf eine Windows-Arbeitsstation vor und installierten eine SYSTEM-Backdoor. Komari sei laut Huntress „kein Telemetrie-Werkzeug, das sich missbrauchen lässt, sondern ein von Grund auf bidirektionaler Steuerungskanal" mit Befehlsausführung, interaktiver Reverse-Shell und Netzwerk-Sondierung – allesamt standardmäßig aktiv.
Barracuda und Group-IB beschrieben zwei neue Phishing-Kits: Saiga 2FA, das über klassische Adversary-in-the-Middle-Funktionen hinausgeht, sowie Phoenix System, das seit Januar 2025 mit über 2.500 Phishing-Domains verknüpft ist und weltweit mehr als 70 Organisationen aus Finanz-, Telekommunikations- und Logistiksektor ins Visier nahm.