Publicerad: 2026-04-02 11:30

CERT-SE:s veckobrev v.14

Den senaste tiden har det noterats flera leveranskedjeangrepp, senast genom Axios JavaScript-bibliotek. Australiens cybersäkerhetscenter har tagit fram en bra sammanfattning om den senaste tidens händelser, som finns att läsa nedan.

Trevlig helg och glad påsk önskar CERT-SE!

Nyheter i veckan

I samband med dataintrånget mot gymkedjan Sats i mitten av mars tillskanskade sig hotaktören åtkomst till en server som används för delad lagring, vars innehåll främst bestod av interna administrativa dokument kopplade till bokföring, skriver Sats i ett pressmeddelande. En del av dessa dokument ska innehålla namn på medlemmar, och i vissa fall kontaktuppgifter. Vidare ska personuppgifter som rör en del anställda även ha påverkats.
(Sats, 1/4)
https://www.sats.se/press/press-release/sats-asa-informerar-om-uppdaterad-lagesbild-av-det-kriminella-dataintranget-3441334

Mercor AI bekräftar dataläcka av 4TB känsliga data efter ett intrång av hackergruppen Lapsus$.
(Cyber Security News, 1/4)
https://cybersecuritynews.com/mercor-ai-data-breach/

Skadlig kod i Axios-bibliotek utnyttjas av trojaner för fjärråtkomst, till Linux, Windows och macOS. Bra genomgång av hur de skadliga biblioteken laddades upp och hur angreppen går till.
(Bleeping Computer, 31/3)
https://www.bleepingcomputer.com/news/security/hackers-compromise-axios-npm-package-to-drop-cross-platform-malware/

F5 har gått ut med information om att sårbarheten CVE-2025-53521 i BIG-IP APM nu utnyttjas aktivt. Sårbarheten möjliggör att en angripare utan behörighet kan fjärrexekvera kod (RCE). Det finns 240 000 instanser exponerade på internet, men det är oklart hur många av dem som har en sårbar konfiguration och inte har patchats.
(Bleeping Computer, 30/3)
https://www.bleepingcomputer.com/news/security/hackers-now-exploit-critical-f5-big-ip-flaw-in-attacks-patch-now

Den Iran-kopplade hotaktören Handala har angripit FBI-chefen Kash Patels privata e-postkonto och läckt privata bilder samt dokument. FBI har bekräftat att intrånget har skett, men uppger att myndighetsinformation inte är en del av angreppet.
(DN, 27/3)
https://www.dn.se/varlden/irankopplad-hackergrupp-lackte-fbi-chefens-privata-bilder

EU-kommissionen utsattes under förra veckan för ett dataintrång. Hotaktören Shiny Hunters har tagit på sig intråget och hävdar att de stulit över 350 GB data från flera databaser, rapporterar Bleeping Computer. EU-kommissionen har i ett pressmeddelande bekräftat intrånget samt att data har läckt. Enligt pressmeddelandet ska kommissionens interna system inte ha påverkats.
(European Commission, 27/3)
https://ec.europa.eu/commission/presscorner/detail/en/ip_26_748/ …
(Bleeping Computer, 30/3)
https://www.bleepingcomputer.com/news/security/european-commission-confirms-data-breach-after-europaeu-hack/

Hotaktören TeamPCP har utökat sin hotkampanj som utnyttjar sårbarhets-skannern Trivy, och riktas mot utvecklarlösningar inom öppen källkod. Nu berörs NPM, Docker Hub, VS Code och PyPI. Hotkampanjen har pågått sedan slutet av februari och det finns även tecken på att hotaktören Lapsus$ är delaktiga för att genomföra utpressning.
(Securityweek, 25/3)
https://www.securityweek.com/from-trivy-to-broad-oss-compromise-teampcp-hits-docker-hub-vs-code-pypi/

Rapporter och analyser

Bra sammanfattning från Australian Cyber Security Centre om den senaste tidens leveranskedjeangrepp.
(ACSC, 1/4)
https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/ongoing-targeting-of-online-code-repositories

En översikt gällande hur angripare använder standardiserade Windows-verktyg för att inaktivera skydd inför ransomwareattacker.
(Cyber Security News, 31/3)
https://cybersecuritynews.com/hackers-weaponize-legitimate-windows-tools/

Det amerikanska cybersäkerhetsföretaget Proofpoint har hittills i år identifierat över 100 skatte-relaterade cyberkampanjer, som bland annat innefattar skadlig kod, bedrägerier och nätfiske. I en nyligen publicerad säkerhetsrapport redogör företaget hur hotaktörer uttnyttjar skattesäsongen för att genomföra angrepp på temat. Enligt rapporten genomförs dessa upplägg årligen, men företaget menar att man under 2026 bland annat sett en bredare form av social manipulation.
(Proofpoint, 30/3)
https://www.proofpoint.com/us/blog/threat-insight/security-brief-tax-scams-aim-steal-funds-taxpayers

Övrigt

ChatGPT-sårbarhet lät angipare exfiltrera användarpromptar och annan känslig information.
(Cyber Security News, 31/3)
https://cybersecuritynews.com/chatgpt-vulnerability/

Från CERT-SE

StepSecurity informerar om ett skadligt Axios JavaScript-bibliotek som funnits tillgängligt för nedladdning via NPM. [1] Enligt Socradar rör det sig om uppskattningsvis knappt tre timmar innan det togs bort. Vid installation laddas en trojan ned, som sedan kontaktar en C2-server.
(CERT-SE, 1/4)
https://www.cert.se/2026/03/skadliga-versioner-av-axios-javascript-bibliotek.html

Sårbarheten CVE-2026-3055 som påverkar NetScaler Gateway och NetScaler ADC uttnyttjas nu aktivt, skriver watchTowr Labs. CISA har lagt till sårbarheten i KEV (Known Exploited Vulnerabilities Catalog). Citrix publicerade information om sårbarheten under förra veckan, och beskrev den som kritisk med en CVSS v4.0-klassning på 9.3.
(CERT-SE, 31/3)
https://www.cert.se/2026/03/kritisk-sarbarhet-i-netscaler-gateway-och-adc.html

Vid uppsättning av en klientorganisation (engelska: tenant) i Microsofts molnmiljö är flexibiliteten hög och nya funktioner läggs till kontinuerligt. CERT-SE uppmanar organisationer att regelbundet se över aktiverade, eller inaktiverade, inställningar för att undvika att vanliga användare har möjlighet att utföra åtgärder som de ur säkerhetssynpunkt inte bör kunna göra. CERT-SE har publicerat ett dokument som syftar till att ge råd och riktlinjer kring hur organisationer i förebyggande syfte kan höja säkerheten i sina M365-miljöer.
(CERT-SE, 30/3)
https://www.cert.se/2026/03/forebyggande-atgarder-for-att-sakra-upp-m365-miljoer.html

F5 har gått ut med information om att sårbarheten CVE-2025-53521 i BIG-IP APM ändrats från CVSS 7.5 (v3.1) till CVSS 9.8 (v3.1) och att F5 sett att sårbarheten nu utnyttjas aktivt. Påverkan har ändrats från DoS till att en angripare kan fjärrexekvera kod (RCE) och sårbarheten har även lagts till i CISA:s Known Exploited Vulnerabilities-katalog (KEV).
(CERT.SE, 30/3)
https://www.cert.se/2025/10/kritiska-sarbarheter-i-F5-networks-produkter.html

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2026-04-02 11:30

CERT-SE:s veckobrev v.14

Den senaste tiden har det noterats flera leveranskedjeangrepp, senast genom Axios JavaScript-bibliotek. Australiens cybersäkerhetscenter har tagit...

Veckobrev
2026-04-01 15:11 Uppdaterad

Skadliga versioner av Axios JavaScript-bibliotek

StepSecurity informerar om ett skadligt Axios JavaScript-bibliotek som funnits tillgängligt för nedladdning via NPM. [1] Enligt...
2026-03-31 15:51 Uppdaterad

Kritisk sårbarhet i NetScaler Gateway och ADC

Citrix har publicerat information om sårbarheten CVE-2026-3055 som påverkar NetScaler Gateway och NetScaler ADC. Sårbarheten beskrivs...

Sårbarhet Citrix
2026-03-30 11:10

Förebyggande åtgärder för att säkra upp Microsoft 365-miljöer

Vid uppsättning av en klientorganisation (engelska: tenant) i Microsofts molnmiljö är flexibiliteten hög och nya funktioner...

Rekommendationer
2026-03-30 09:25 Uppdaterad

Kritiska sårbarheter i F5 Networks-produkter

F5 Networks har publicerat en större mängd sårbarhetsuppdateringar gällande produkterna BIG-IP, F5OS, BIG-IP Next for Kubernetes,...

Sårbarheter F5 Networks

Nyheter