आज का पैटर्न बदसूरत लेकिन साफ है: trusted middleware, trusted operating-system plumbing और trusted vendors — तीनों अब high-leverage breakpoints बन रहे हैं।
सार: आज सुबह तीन कहानियाँ सबसे अहम हैं: मॉडल-प्रोवाइडर credentials पर सीधा निशाना साधता active LiteLLM exploitation, PhantomRPC नाम का unpatched Windows privilege-escalation path, और Vimeo का यह स्वीकार करना कि third-party breach से customer data खुला।
हमलावर CVE-2026-42208 का दुरुपयोग कर रहे हैं, जो LiteLLM की proxy API key verification flow में pre-auth SQL injection flaw है। Sysdig ने उन tables पर targeted requests देखीं जिनमें provider credentials, API keys, environment secrets और configuration data था। यह इसलिए गंभीर है क्योंकि LiteLLM कई model providers के सामने बैठता है; एक exposed instance OpenAI, Anthropic, Bedrock और बाकी managed services तक pivot बन सकती है।
Kaspersky की PhantomRPC research के अनुसार Windows RPC में architectural weakness है: runtime यह verify नहीं करता कि RPC server legitimate है या नहीं, फिर भी privileged clients उससे बात कर लेते हैं। एक compromised service fake endpoint खड़ा कर सकती है, privileged RPC call का इंतज़ार कर सकती है और caller को impersonate करके SYSTEM तक पहुँच सकती है। Microsoft ने इसे reportedly moderate माना है और immediate remediation की योजना नहीं है, इसलिए defenders को Patch Tuesday का इंतज़ार नहीं बल्कि compensating controls चाहिए।
Vimeo ने कहा कि Anodot analytics platform compromise होने के बाद attackers ने email addresses, technical data और video metadata वाली databases तक पहुँच बनाई। कंपनी के अनुसार video content, valid login credentials और payment-card data exposed नहीं हुआ, लेकिन यह फिर भी classic vendor-trust problem है: analytics integrations अक्सर production data के इतना पास बैठती हैं कि vendor breach सीधे real incident बन जाता है। ShinyHunters इस intrusion का दावा कर रहा है और 30 अप्रैल तक ransom न मिलने पर data leak की धमकी दे रहा है।
सबसे पहले exposed AI infrastructure को प्राथमिकता दें, फिर Windows के privilege assumptions को tighten करें, और उसके बाद उन vendor accesses का दोबारा audit करें जिन्हें सब भूल चुके थे लेकिन जो व्यवहार में production ही हैं। यहाँ common failure एक bug class नहीं है। यह connective tissue पर गलत भरोसा है।