AISLE hat nach eigenen Angaben sechs Schwachstellen in curl entdeckt. Sie reichen von klassischen Problemen bei der Lebensdauer von Speicherobjekten bis zu Logikfehlern bei der Entscheidung von libcurl, ob eine Verbindung, ein Zugangsnachweis oder eine Host-Identität noch gültig ist. Besonders hervorgehoben wird CVE-2026-8932: Die Bibliothek kann demnach eine bereits aufgebaute Verbindung weiterverwenden, obwohl Änderungen an mTLS-bezogenen Optionen eine Wiederverwendung hätten verhindern müssen. AISLE bezeichnet die Schwachstelle als die bislang älteste gemeldete curl-Lücke. Betroffen waren demnach Auslieferungen seit curl 7.7; behoben wurden die Fehler in Version 8.21.0.

Eine weitere kritische Schwachstelle betrifft selbst gehostete Versionen von Hoppscotch. Die Open-Source-API-Plattform ist von CVE-2026-50160 betroffen, die mit 10,0 bewertet wird. Offgrid Securitys autonomer KI-Sicherheitsagent Kiro wird als Entdecker genannt. Laut den Projektbetreuern erlaubt der Endpunkt POST /v1/onboarding/config einem nicht authentifizierten Angreifer, beliebige InfraConfig-Schlüssel per Massenzuweisung in die Datenbank einzuschleusen, darunter JWT_SECRET und SESSION_SECRET. Ursache ist demnach, dass zusätzliche Eigenschaften nicht entfernt werden und anschließend ungefiltert verarbeitet werden. OffGrid Security erklärte gegenüber The Hacker News, dass vier unabhängige Schwächen zusammenwirken und ein einzelner HTTP-Request ohne Zugangsdaten ausreicht, um den Signaturschlüssel für JWT zu überschreiben. Der Fehler wurde in hoppscotch-backend 2026.5.0 behoben.

Spur Intelligence berichtet zudem über einen anderen problematischen Trend: Von 6.038 untersuchten Apps für LG webOS und Samsung Tizen enthielten 2.058 eine Residential-Proxy-Software. Das entspricht plattformübergreifend 34,1 Prozent. Auf LG webOS lag der Anteil bei 42,5 Prozent, auf Samsung Tizen bei 26,9 Prozent. Zu den häufigsten SDK-Anbietern zählen Bright Data, Massive und Oxylabs. Laut Spur finden sich solche Komponenten auch in Uhren, Bildschirmschonern, Spielen und anderen Anwendungen mit geringem Nutzwert. CTO Alastair Parr sagte The Hacker News, zwar würden diese Anwendungen technisch gesehen Einwilligungen einholen, oft gebe es aber keine Prüfung, ob der Nutzer volljährig oder überhaupt berechtigt sei, für das Gerät zuzustimmen. Amazon untersagt Apps, die Proxy-Dienste für Dritte ermöglichen, ausdrücklich; ähnliche Schutzmechanismen gibt es laut Bericht auch bei Roku. LG und Samsung hätten eine vergleichbare Richtlinie bislang nicht durchgesetzt.

Bei Angriffen beobachtete Zscaler ThreatLabz einen Initial Access Broker mit Verbindung zu Payouts King ransomware, der sich in Microsoft Teams als IT-Mitarbeiter ausgab. Ziel war die Installation einer bösartigen Microsoft-Edge-Erweiterung namens Edgecution. Die Erweiterung missbraucht laut Zscaler das Chrome-Protokoll für native Nachrichten, um mit lokalen Anwendungen außerhalb der Browser-Sandbox zu kommunizieren. So erhalten die Angreifer direkten Host-Zugriff, können Dateisysteme manipulieren, Prozesse starten und beliebigen Code ausführen. Die Schadsoftware besteht aus einer Edge-Erweiterung namens „Edge Monitoring Agent“ und einer Python-basierten Hintertür. Google-Tochter Mandiant hatte im April 2026 bereits eine ähnliche Angriffskette mit einer Chromium-Erweiterung unter dem Codenamen SNOWBELT beschrieben.

Auch der Missbrauch alter Zugangsdaten spielte in dieser Woche eine Rolle. Klue teilte TechCrunch mit, dass ein Zugangsnachweis aus dem Jahr 2022, der für einen begrenzten Piloten an einen Dritten ausgegeben worden war, von den Erpressern Icarus ausgenutzt wurde, um Salesforce-Daten von Unternehmenskunden zu stehlen. Zu den Unternehmen, die einen Diebstahl begrenzter Salesforce-Informationen bestätigten, zählen 8x8, BeyondTrust, Gong, Jamf, HackerOne, Insurity, LastPass, OneTrust, Pendo, Recorded Future, Snyk, Sprout Social und Tanium.

Fortra meldete außerdem eine Phishing-Kampagne, die Outlook Groups und Kollaborationsfunktionen von Microsoft 365 missbraucht, um bösartige Aktivitäten wie normale Arbeitsabläufe erscheinen zu lassen. Die Angreifer fügen Ziele zu von ihnen kontrollierten Microsoft-365-Gruppen hinzu und nutzen anschließend Gruppenpostfächer, geteilte Dateien oder gefälschte Kalendereinladungen für den Diebstahl von Zugangsdaten, das Abgreifen von Tokens oder die Zustellung von Schadsoftware. Palo Alto Networks Unit 42 wiederum beobachtete eine neue ClickFix-Kampagne, bei der Nutzer dazu verleitet werden, schädliche Befehle in die Terminal-App einzufügen. Diese laden unbemerkt eine schädliche DMG-Datei nach. Unit 42 ordnet den darin enthaltenen Infostealer der Atomic-macOS-Stealer-Linie zu, genauer einer Variante namens Odyssey.

Weitere Meldungen im Rückblick reichen von einer Ausweitung der Google-Workspace-Warnungen für Administrator-Passwortzurücksetzungen auf alle Administratorrollen über Analysen von Sophos zu KI in Untergrundforen bis zu neuen Details zu REDCap-Systemen. Censys zählte dort weltweit etwas mehr als 8.500 Instanzen. Google Threat Intelligence Group hatte in der vergangenen Woche eine mehr als ein Jahr laufende Spionagekampagne gegen nordamerikanische Forschungsinstitutionen dem China-nahen Akteur UNC6508 zugeschrieben, der internetseitig erreichbare REDCap-Server als initialen Zugangsweg genutzt haben soll. Human Rights Watch berichtete zudem über Exportlizenzen für Überwachungstechnik der bulgarischen Firma Circles in mehrere Länder, wobei derzeit unklar ist, ob die Technik tatsächlich exportiert wurde.