Ljus
Mörk
Författare
SOC @ Asurgent
Read time
14 min
10 april 2026
Det finns ett grundantagande inbyggt i hur vi bygger och driftar mjukvara idag. Vi antar att det verktyg vi hämtat tusen gånger förut fortfarande är det vi tror att det är. Att den scanner vi kör för att hitta sårbarheter i våra containerbilder faktiskt skannar, och inte gör något annat vid sidan om. Att det paket vi installerar är det dess maintainer publicerade. Det är inte ett orimligt antagande. Det är också det antagandet som supply chain-attacker systematiskt utnyttjar, och under mars 2026 fick det antagandet ett pris.
Det som hände under tre veckor i mars är något av det bästa skolboksexemplen på hur en supply chain-kampanj faktiskt fungerar när den bedrivs med tålamod och precision. Inte ett enstaka intrång mot en organisation, utan ett leveransmönster som använde de mekanismer vi litar på, automatiserade releases, versionstaggar, paketregistries, postinstall-hooks, som distributionskanaler för skadlig kod. Välkända resultat, just nu: Cisco förlorade källkod för sina AI-produkter. EU-kommissionen fick 340 gigabyte stulet data från 71 klientorganisationer. Google Threat Intelligence Group varnar för att hundratusentals stulna credentials kan vara i omlopp. Och allt spårar tillbaka till en ofullständig credential-rotation hos Aqua Security i slutet av februari.
Det är värt att gräva djupare i hur vi kom dit.
Sent i februari 2026 exploaterade en automatiserad bot med namnet hackerbot-claw en pull_request_target-trigger i Trivy-repot hos Aqua Security. Det är ett välkänt missbruksmönster, ibland kallat "Pwn Request", och det hade faktiskt flaggats av verktyget poutine redan i november 2025, tre månader i förväg, utan att åtgärdas. Problemet med pull_request_target är att det, till skillnad från en vanlig pull_request-trigger, exekverar i basrepots kontext med tillgång till dess hemligheter även när koden kommer från en extern fork. Boten utnyttjade detta och exfiltrerade en Personal Access Token tillhörande aqua-bot, ett servicekonto med privilegierad tillgång till Aqua Securitys GitHub-organisation.
Den 1 mars upptäcktes token-exfiltrationen och Aqua Security initierade rotation av autentiseringsuppgifter. Rotationen genomfördes dock stegvis och utan att ogiltigförklara samtliga aktiva tokens samtidigt. Som följd förblev vissa tokens giltiga, vilket gjorde att angriparen kunde behålla åtkomst. Under de efterföljande tre veckorna avstod angriparen från aktivitet och inväntade rätt tillfälle.
Den 19 mars, klockan 17:43 UTC, slog de till.
Under loppet av ungefär en timme force-pushade angriparen 76 av 77 versionstags i aquasecurity/trivy-action och alla 7 taggar i aquasecurity/setup-trivy till skadliga commits. Eftersom taggar i Git är muterbara, och det är tag-rewrite som triggar den automatiserade release-pipelinen, publicerades därefter en manipulerad Trivy-binär som v0.69.4 till GitHub Releases, Docker Hub, GHCR och AWS ECR. Angriparen kopierade exakta commit-meddelanden och tidsstämplar från historiska releases och spoofade commit-metadata inklusive author fields för att imitera legitima maintainers. Den enda verifierbara avvikelsen för den som visste vad man letade efter var att commits saknade GPG-signering.
Det som gör tekniken effektiv är just det faktum att Git-taggar är muterbara. Det finns ingen standardvarning i GitHubs normala vy som signalerar att en tagg har force-pushats till en annan commit. Pipelines som refererade @v0.34.2 eller @v0.18.0 körde från och med nu angriparens kod, inte Aqua Securitys, och eftersom pipelines refererade kända taggar utlöstes ingen alert.
Den skadliga koden exekverades som ett tre-stegs infostealer-program innan den legitima Trivy-skanningen startade, vilket innebar att skanningens output förblev korrekt och detektering uteblev. Mot GitHub-hosted runners dumpades minnet från Runner.Worker-processen via /proc/<pid>/mem, en teknik som kräver rätt exekveringsprivilegier och som dokumenterats sedan tj-actions-intrånget 2025, för att extrahera Actions-hemligheter lagrade i .NET runtime-heapen. Mot self-hosted runners genomfördes en systematisk filsystemsskanning mot över 50 känsliga sökvägar: SSH-nycklar, AWS/GCP/Azure-konfigurationer, Kubernetes-tokens, kubeconfig-filer, Docker registry-credentials, Terraform state-filer, .env-filer, TLS-certifikat och privatnycklar, shell-historik och kryptoplånböcker. Insamlad data krypterades med AES-256-CBC och RSA-4096 och exfiltrerades via HTTPS POST till den typosquattade domänen scan[.]aquasecurtiy[.]org mot IP-adressen 45.148.10.212 i Amsterdam. Om primärkanalen misslyckades skapades ett publikt repo med namnet tpcp-docs i offrets eget GitHub-konto som fallback-exfiltrering.
Trivy-teamet identifierade och stoppade den aktiva distributionsfasen senare samma kväll, men exponeringsfönstret var öppet. Och den 22 mars genomfördes ytterligare tag-manipulation via separata komprometterade Docker Hub-credentials som inte täcktes av saneringen. Tre ytterligare skadliga Docker Hub-images publicerades (v0.69.5, v0.69.6 och latest) och utökade exponeringstiden med ungefär tio timmar. Samma dag döptes samtliga 44 repositories i Aqua Securitys aquasec-com GitHub-organisation om med tpcp-docs-prefix i en skriptad körning på under två minuter.
Attacken hade ett namn. I payload-strängar identifierade sig gruppen som TeamPCP. Google och Mandiant spårar den formellt som UNC6780. Wiz, Palo Alto Networks och andra aktörer har bekräftat denna bedömning baserad på gemensamma tekniska signaturer: en delad RSA-4096 publik nyckel, identiska krypteringsscheman och exfiltrationsmönster som återkommer genom hela kampanjen. Gruppen bedöms som finansiellt motiverad med fokus på cloud-native infrastruktur och kryptotillgångar.
Med stulna npm-tokens från Trivys offer, insamlade under de timmar credential-stealern körde i CI/CD-pipelines runt om i världen, driftsatte TeamPCP den 20 mars vad som kommit att kallas CanisterWorm. Det är en självpropagerande mask för npm-ekosystemet som automatiserar processen: givet en stulen publish-token räknar den upp samtliga paket tokenen ger publiceringsbehörighet till och publicerar skadliga versioner av alla. Palo Alto Networks rapporterar att 28 paket kapades på under 60 sekunder via dependency injection. CanisterWorm använde ett ICP-canister (Internet Computer Protocol blockchain) som dead drop-resolver för sin C2-infrastruktur, ett val som i praktiken är svårt att hantera via traditionella domain-takedowns eftersom infrastrukturen är distribuerad på ett decentraliserat nätverk.
Den 23 mars nådde kampanjen Checkmarx. Via credentials stulna ur Trivy-exponerade CI/CD-miljöer kapade TeamPCP GitHub Actions för kics-github-action och ast-github-action via tag-rewrite och publicerade två skadliga OpenVSX-extensions. Angriparen kapade 35 taggar under fyra timmar och använde domänen checkmarx[.]zone som exfiltrationsmål. Det är värt att notera att Checkmarx KICS är ett IaC-analysverktyg som ofta har tillgång till Terraform-variabler och state-filer. Organisationer som körde den kapade versionen bör räkna med att IaC-secrets exponerats, inte enbart GitHub Actions-miljöns credentials.
Den 24 mars publicerades skadliga versioner av LiteLLM (1.82.7 och 1.82.8) till PyPI via dependency injection i paketregistret. LiteLLM är ett universellt proxy-lager för LLM-provider-integrationer med ungefär 95 miljoner nedladdningar per månad. Det centraliserar API-nycklar till OpenAI, Anthropic, AWS Bedrock, Google Vertex AI och liknande, vilket innebär att ett komprometterat paket i praktiken kan ge tillgång till samtliga LLM-credentials en organisation hanterar. Version 1.82.8 var den mer destruktiva av de två: den innehöll en .pth-fil (döpt litellm_init.pth) som Python-interpretatorn laddar automatiskt vid uppstart, utan att paketet ens behöver importeras explicit. Det innebär att varje python-, pip- eller pytest-kommando på ett drabbat system triggar credential-stealern. PyPI satte paketen i karantän inom ungefär tre timmar, men med 3,6 miljoner dagliga nedladdningar var exponeringsfönstret signifikant.
Den 27 mars kapades Telnyx på PyPI via en teknik TeamPCP introducerat fem dagar tidigare: WAV-steganografi. Den skadliga payloaden doldes som giltiga audioramar i .wav-filer, hangup.wav för Windows och ringtone.wav för Linux och macOS. Telnyx-tokenen hade stulits via CanisterWorm, vars postinstall-hook i ett komprometterat npm-paket fångat upp publiceringstokenen från en CI-miljö med behörighet till Telnyx-scopet. Den RSA-4096 publika nyckel som återfinns i Telnyx-payloaden är identisk med den i LiteLLM-payloaden, vilket ger stark teknisk grund för bedömningen att båda härrör från samma aktör.
Kedjan i sammandrag är en credential reuse-sekvens där varje fas möjliggjordes av tillgång etablerad i föregående: pull_request_target-exploit gav en stulen PAT som gav tillgång till Trivys releasekedja som gav npm-tokens som gav CanisterWorm som gav PyPI-tokens som gav LiteLLM som gav Telnyx npm-tokenen som gav Telnyx PyPI. Parallellt användes Trivy-credentials direkt mot Checkmarx release-infrastruktur. Om kedjan var avsiktligt planerad från start eller om varje hopp togs opportunistiskt är inte fastställt, men resultatet är detsamma.
Natten mot den 31 mars inträffade ytterligare ett angrepp mot npm-ekosystemet, men det är viktigt att hålla det separat från TeamPCP-kampanjen. Google Threat Intelligence Group tillskriver detta UNC1069, en finansiellt motiverad hotgrupp med nordkoreansk nexus, och payloaden kallas WAVESHAPER.V2. Det är en separat aktör, ett separat motiv och en separat verktygsuppsättning, som råkade träffa samma ekosystem under samma vecka.
Mekaniken är enkel och effektiv. Angriparen hade registrerat ett npm-konto under nrwise@proton.me och publicerat paketet plain-crypto-js@4.2.0 18 timmar i förväg, rent, enbart för att ge paketet en liten bit registerhistorik. Strax efter midnatt byttes e-postadressen på jasonsaaymans npm-konto, primär maintainer för axios, till ifstap@proton.me, vilket låste ut den legitima ägaren. Klockan 00:21 UTC publicerades axios@1.14.1 och inom 39 minuter även axios@0.30.4, båda med ett enda nytt beroende injicerat: plain-crypto-js@4.2.1, som innehöll en postinstall-hook.
Npm kör postinstall-scripts automatiskt vid installation, utan fråga. setup.js kontaktade C2-servern sfrclak[.]com:8000, laddade ner plattformsspecifik stage-2 payload, exekverade den, och raderade sedan alla spår av sig självt: setup.js togs bort, package.json skrevs om till en ren decoy-version. En efterföljande inspektion av node_modules/plain-crypto-js/ gav ingenting anmärkningsvärt. Hela processen från npm install till aktiv C2-kommunikation tog ungefär 15 sekunder.
Stage-2 payloaden, WAVESHAPER.V2, är ett fullt funktionellt fjärrstyrningsverktyg med plattformsspecifika implementationer: PowerShell för Windows, C++ för macOS och Python för Linux. Vid exekvering skickades omedelbart en FirstInfo-beacon till C2 med hostname, username, OS-version, arkitektur, tidszon, hårdvarumodell och boot-tid, varpå RAT:en gick in i en 60 sekunders heartbeat-loop. Windows-varianten etablerade persistens via en registry Run-nyckel och en download-cradle i %PROGRAMDATA%\\system.bat. macOS-varianten är C++-baserad och uppvisar signifikant teknisk överlapp med det WAVESHAPER-ramverk Mandiant dokumenterat från UNC1069:s tidigare operationer, inklusive en intern projektbeteckning macWebT som kopplar till BlueNoroffs webT-modul från RustBucket-kampanjerna. Linux-varianten etablerade ingen persistens, ett sannolikt medvetet designval för efemära CI/CD-runners där värdet är de credentials som är tillgängliga under byggkörningen.
Ett konstant och detekterbart mönster löper genom alla tre varianterna: en hårdkodad User-Agent-sträng mozilla/4.0 (compatible; msie 8.0; windows nt 5.1; trident/4.0). Internet Explorer 8 på Windows XP. I 2026 är det omedelbart anomalt på alla plattformar och ger ett tillförlitligt detektionssignal i nätverksloggar.
Exponeringsfönstret för axios är snävt men tydligt: npm install som kördes och upplöste till axios@1.14.1 eller axios@0.30.4 under 00:21–03:20 UTC den 31 mars kan ha exekverat payloaden. De sista rena versionerna är axios@1.14.0 och axios@0.30.3. SANS Institute uppskattade ungefär 600 000 nedladdningar under fönstret.
Det är vid det här laget som skalan av det inträffade börjar bli synlig.
Den 31 mars rapporterade BleepingComputer, baserat på anonyma källor, att Cisco drabbades av ett intrång med direkt koppling till Trivys kapade releasekedja. Cisco använde Trivy som en del av sin CI/CD-pipeline. När de manipulerade GitHub Actions exekverades stals credentials som gav angriparna tillgång till Ciscos interna byggsystem. Mer än 300 privata GitHub-repositories klonades, inklusive källkod för Ciscos AI-produkter som AI Assistant och AI Defense, samt kod för produkter som ännu inte publicerats. En del av de stulna repositories tillhör Ciscos företagskunder, bland dem banker, BPO-företag och amerikanska statliga myndigheter, vilket ger det här intrånget en räckvidd långt bortom det primära offret. Flera AWS-nycklar stals och användes sedan för otillåten aktivitet i ett antal av Ciscos molnkonton. Ciscos interna säkerhetsteam, Unified Intelligence Center, CSIRT och EOC, hanterade inneslutningen, och företaget påbörjade massinlöst credential-reset och återuppbyggnad av drabbade system.
ShinyHunters, en sedan länge etablerad utpressningsgrupp som verkar ha samarbetat med TeamPCP i monetiseringsfasen, offentliggjorde den 31 mars ett utpressningskrav med deadline den 3 april. Utöver den bekräftade GitHub/AWS-kompromitteringen påstår ShinyHunters ytterligare tre intrångsvektorer, varav en involverar 3 miljoner Salesforce-poster med PII. Dessa påståenden är ännu inte oberoende bekräftade. Det som är bekräftat via BleepingComputer och Ciscos interna åtgärder är repository-klonningen och AWS-intrånget.
Den 3 april bekräftade CERT-EU att EU-kommissionens Europa-webbhotellplattform drabbades via samma kapade releasekedja. Ungefär 340 gigabyte data stals från 71 klientorganisationer. CERT-EU bedömer att initial access skedde den 19 mars, att angriparna använde AWS-credentials stulna via Trivys komprometterade pipeline och därefter TruffleHog offensivt för att skanna och validera ytterligare credentials via Security Token Service. De skapade sedan en ny access key kopplad till en befintlig användare och inledde rekognoscering. Modus operandi matchar det mönster Wiz:s forskare dokumenterat och knutit till TeamPCP. Den publicerade datasetet innehåller personuppgifter inklusive namn, användarnamn och e-postadresser, och mer än 51 000 filer kopplade till utgående e-postkommunikation, varav en delmängd kan innehålla användarinskickat innehåll via "bounce-back"-meddelanden.
Google Threat Intelligence Group publicerade i samband med Axios-attributionen en bredare varning: hundratusentals stulna credentials kan cirkulera som ett resultat av de kombinerade attackerna under mars. GTIG pekar explicit på att detta kan möjliggöra ytterligare supply chain-attacker, SaaS-kompromitteringar med nedströmskundspåverkan, ransomware och utpressningshändelser samt kryptostöld under den närmaste perioden. Ransomware-gruppen Vect nämns som en RaaS-aktör som kan nyttja material från kampanjen. Mandiant uppskattade att över 1 000 SaaS-miljöer aktivt hanterar konsekvenser av dessa attacker.
Det finns ett mönster i valet av mål som är värt att reflektera över. TeamPCP gick inte efter applikationsservrar. De gick efter Trivy, ett containerscanner-verktyg, Checkmarx KICS, ett IaC-analysverktyg, och LiteLLM, ett AI-gateway-bibliotek. Alla tre är verktyg som per definition kör med bred tillgång i CI/CD-miljöer. Trivy behöver credentials för att skanna containerregistries. KICS analyserar Terraform-kod och har tillgång till state-filer som ofta innehåller klartext-hemligheter. LiteLLM centraliserar API-nycklar till samtliga LLM-leverantörer en organisation hanterar.
TeamPCP väljer medvetet säkerhetsverktyg och infrastrukturverktyg som kör med förhöjda privilegier, eftersom de ger tillgång till några av de känsligaste miljöerna i organisationen. Det är inte en observation om sofistikation, det är en observation om felaktigt konfigurerade tillitsmodeller. Vi tenderar att ge säkerhetsverktyg bred tillgång till allt eftersom de behöver granska allt, utan att tillämpa samma principfasthet om minimala privilegier på dessa verktyg som vi tillämpar på allt annat.
Sett i ett bredare perspektiv är mönstret välbekant. SolarWinds 2020 komprometterade byggpipelinen för signerade uppdateringar. CodeCov 2021 injicerade ett bash-skript som exfiltrerade CI/CD-miljövariabler. tj-actions/changed-files 2025 använde tag-förgiftning för att stjäla CI/CD-secrets, samma teknik som TeamPCP använde mot Trivy. OWASP rankade supply chain-attacker som nummer tre på sin Top 10 för 2025. Det som förändrades under mars 2026 var inte metoden, det var kompositionen och kampanjens persistens, det sätt på vilket en ofullständig respons på ett intrång direkt skapade förutsättningarna för nästa.
Nästan all rapportering om Trivys kapade releasekedja skrevs med GitHub Actions i åtanke. Attackvektorerna, åtgärderna, verktygen, allt utgick från .github/workflows. För den som kör Azure DevOps kan det skapa ett falskt intryck av att man inte är berörd.
Det stämmer inte. De manipulerade Docker Hub-images var lika farliga oavsett om de drogs ner i en GitHub Actions-pipeline eller en Azure DevOps-pipeline. Binären är binären. Self-hosted Azure DevOps-agenter har exakt samma exponering mot filsystemsskanning som GitHub-hosted runners om en kapade container-image eller ett skadligt skript exekveras. Persistensmekanismen ~/.config/systemd/user/sysmon.py landar oavsett vilken CI-plattform som triggat jobbet.
Azure Pipelines har en mer kontrollerad task marketplace än GitHub Actions, och det är en verklig fördel: task-versioner måste genomgå en publisher-godkännandeprocess och kan inte force-pushas på samma sätt som GitHub-taggar. Men det är en smalare fördel än den verkar. Det mesta av det som gör CI/CD-pipelines farliga som angreppsyta, secret access, container image-pulls, extern skriptexekvering, full filsystemsexponering på self-hosted agenter, är fullt närvarande i Azure Pipelines.
För Azure DevOps-miljöer innebär det konkret att samma åtgärder gäller: granska vilka Docker Hub-images som drogs ner under exponeringsperioderna, verifiera att self-hosted agenter inte uppvisar tecken på kompromittering, och rotera credentials som var tillgängliga i pipeline-miljön under mars. Organisationer som förlitade sig på task marketplace-separationen som ett fullständigt skydd bör revidera det antagandet.
MicrosoftSecurityDevOps@1 inkluderar Trivy som ett av sina inbyggda analysverktyg och levererar det via en intern NuGet-feed. Det är ett faktum som dokumenteras av Microsoft. Det är också ett faktum att inget offentligt svar finns tillgängligt om huruvida den feeden var opåverkad under exponeringsfönstret 19–22 mars. Dessa är två separata saker: att MSDO levererar Trivy är bekräftat, att feeden var säker under attackperioden är inte bekräftat. Den operativa konsekvensen av det okända är att organisationer som körde MicrosoftSecurityDevOps@1 med Trivy aktiverat under den perioden inte kan utesluta exponering utan att verifiera det direkt. Frågan att ställa till Microsofts support är konkret: vilken Trivy-version levererades via NuGet-feeden under 19–22 mars, och varifrån hämtades den?
Det är praktiskt att tänka i tre steg: detektering, inneslutning och återställning. Ordningen spelar roll.
Detektering handlar om att fastställa om din miljö träffades. Exponeringsfönstren att kontrollera mot är följande: aquasecurity/trivy-action med nästan alla taggar utom v0.35.0 under perioden 19 mars 17:43 UTC till 20 mars 05:40 UTC. Docker Hub-images aquasec/trivy taggade v0.69.4 till v0.69.6 samt latest under 19–23 mars. checkmarx/kics-github-action och ast-github-action under 23 mars 12:58–16:50 UTC. litellm 1.82.7 och 1.82.8 under 24 mars 10:39–14:35 UTC. telnyx 4.87.1 och 4.87.2 den 27 mars. Samt axios@1.14.1 och axios@0.30.4 under 31 mars 00:21–03:20 UTC.
Sök parallellt efter indikatorer i miljön: repos med namnet tpcp-docs i din GitHub-organisation, filen ~/.config/systemd/user/sysmon.py på self-hosted runners och utvecklarmaskiner. RAT-artefakterna för Axios-attacken sitter på /Library/Caches/com.apple.act.mond på macOS, %PROGRAMDATA%\\wt.exe på Windows och /tmp/ld.py på Linux. Sök i nätverksloggar efter anrop till scan[.]aquasecurtiy[.]org, 45.148.10.212, checkmarx[.]zone, models[.]litellm[.]cloud, 83[.]142.209.203, sfrclak[.]com och 142.11.206.73. User-Agent-strängen mozilla/4.0 (compatible; msie 8.0; windows nt 5.1; trident/4.0) är ett tillförlitligt nätverkssignal för Axios-varianten.
Inneslutning innebär att stoppa vidare exponering innan du återställer. Byt ut alla tagg-referenser i GitHub Actions-pipelines mot SHA-pinning: en tagg kan force-pushas, en commit-SHA kan det inte. Verktyg som zizmor, pinact, StepSecuritys secure-repo och Renovates pinGitHubActionDigests-inställning kan automatisera detta i hela organisationen.
Återställning: om en maskin kan ha kört komprometterade versioner under exponeringsfönstren bör den behandlas som fullt komprometterad. Bygg om från känt-rent tillstånd, rensa inte in-place. Rotera samtliga credentials som var tillgängliga på maskinen och verifiera att de gamla slutat fungera. Den sista punkten är inte en formalitet, det är exakt det misstag Aqua Security gjorde i mars och som gav TeamPCP ytterligare tre veckors tillgång.
Det finns något nästan oavsiktligt lämpligt i att det var ett säkerhetsverktyg som blev attackvektorn. Trivy kör med tillgång till allt just för att det ska kunna granska allt. Det privilegiet är en designförutsättning. Och det är precis det som gjorde det till ett så attraktivt mål.
Det vi tar med oss från mars 2026 är inte egentligen tekniska nyheter. SHA-pinning var känt. Atomär credential-rotation var känt. npm ci --ignore-scripts var känt. Det vi tar med oss är att konfigurationshygien inte är en rekommendation man skriver ner och glömmer utan ett faktiskt skydd mot välkända attacker, och att en ofullständig incidentrespons är en inbjudan till den andra anfallsvågen.
Cisco byggde om. EU-kommissionen granskar sin exponering. Hundratusentals credentials cirkulerar fortfarande, och GTIG:s varning om att ytterligare SaaS-intrång, ransomware och extortion-händelser kan väntas som konsekvens är fortfarande giltig. Den här berättelsen är, med stor sannolikhet, inte klar.
Den här artikeln sammanfattar händelserna från mars 2026 och inkluderar den senaste kända utvecklingen fram till och med den 7 april 2026. Den vänder sig primärt till säkerhetsingenjörer, DevSecOps-team och CISOs med ansvar för CI/CD-miljöer.
Om du vill diskutera hur er organisations CI/CD-pipeline ser ut utifrån de angreppsytor som belysts här, eller behöver stöd med att kartlägga och stärka er supply chain-säkerhet i Azure DevOps eller GitHub Actions, är ni välkomna att höra av er till oss på Asurgent.
Källor: Aqua Security (GHSA-69fq-xp46-6x23), Google Threat Intelligence Group, Wiz Research, Palo Alto Networks, Legit Security, Sysdig, CERT-EU, Help Net Security, BleepingComputer, Elastic Security Labs, Huntress, Datadog Security Labs, SANS Institute, StepSecurity, Aikido Security, Socket, ReversingLabs, Snyk, GitGuardian, CrowdStrike, Kaspersky, InfoQ
Prenumerera på vårt cybersäkerhetsnyhetsbrev för att ha koll på senaste nytt inom cyberfären.
