Druhý incident se týká vývojářů využívajících vývojová prostředí od JetBrains. Na JetBrains Marketplace se objevila sada nejméně 15 škodlivých pluginů zveřejněných pod sedmi různými účty, které se navenek tvářily jako nástroje s podporou AI pro generování testů, kontrolu kódu nebo práci s Gitem. Celkový počet instalací přesáhl 70 tisíc. Pluginy cílily na API klíče k AI službám – jakmile uživatel zadal klíč a uložil nastavení, doplněk ho odeslal jako plaintext JSON přes HTTP na server útočníka. Bezpečnostní firma Aikido, která incident odhalila, identifikovala typické názvy škodlivých doplňků: DeepSeek AI Assist, CodeGPT AI Assistant nebo AI Coder Review. JetBrains po nahlášení pluginy odstranil, zablokoval příslušné vydavatelské účty a doplňky v nainstalovaných IDE deaktivoval. Zdůraznil přitom, že samotná infrastruktura JetBrains nebyla kompromitována. Případ ale dobře ilustruje, že plugin do IDE se může stát vstupním bodem útoku stejně snadno jako škodlivý balíček v npm nebo PyPI.

Třetí případ přichází od společnosti Symantec, která popsala první potvrzený případ malwaru zneužívajícího relay servery Microsoft Teams ke skryté C2 komunikaci. Škodlivý software označený jako Backdoor.Turn využívá protokol TURN, který Teams standardně používá ke zprostředkování hovorů v prostředích s NAT nebo přísnými firewally. Útočníci krátkodobé TURN přihlašovací údaje, které Teams automaticky vydává klientům, využili k budování síťových tunelů přes legitimní infrastrukturu Microsoftu. Takto vzniklý kanál umožnil přenášet libovolný síťový provoz skrytý v provozu videokonferenční platformy. Incident byl zaznamenán v prosinci 2025 při útoku na americkou firmu a za kampaní stála ransomware skupina DragonForce. Technický základ útoku vychází z výzkumu „Ghost Calls" prezentovaného na konferenci Black Hat USA v srpnu 2025 – a případ Backdoor.Turn ukazuje, jak rychle se nový výzkumný koncept může dostat do arzenálu útočníků.

Čtvrtý případ se týká skupiny ShinyHunters, která si v posledních týdnech připisuje sérii značně závažných průniků. Společnost Kodak – globální firma s více než 130letou historií a vlastníkem přibližně 79 tisíc patentů – potvrdila, že neoprávněná třetí strana získala dočasný přístup k omezenému množství firemních dat. ShinyHunters tvrdí, že odcizila více než 2,2 milionu záznamů obsahujících osobní údaje zákazníků a interní firemní informace. V širším kontextu stojí za zmínku, že táž skupina v květnu a červnu 2026 zneužila zero-day zranitelnost v podnikovém softwaru Oracle PeopleSoft (CVE-2026-35273, CVSS 9,8), přičemž k průniku do více než 100 organizací – z nichž dvě třetiny tvořily vysoké školy – došlo mezi 27. květnem a 9. červnem. Systém PeopleSoft je nasazen u zákazníků pro správu personálních dat, mzdové agendy a dodavatelských vztahů. Oracle vydal záplatu pro verze 8.61 a 8.62.

Celkový obraz týdne je zřetelný: útočné vektory sahají od síťové infrastruktury přes vývojářský ekosystém až po korporátní komunikační platformy, přičemž ochranná opatření musí tyto vrstvy pokrývat systematicky. Rotace přihlašovacích údajů na FortiGate zařízeních, audit nainstalovaných IDE doplňků, monitoring odchozí komunikace na TURN serverech a aktualizace Oracle PeopleSoft jsou pro zasažená prostředí kroky první priority.

Root.cz