PHP 项目维护者 Nikita Popov 周日表示，攻击者以他和 PHP 作者 Rasmus Lerdorf 的名义向 php-src 库加入了两个恶意 commits，声称是修正文字输入错误，但实际上是植入后门实现远程代码执行。Popov 称，开发团队不是十分确定攻击是如何发生的，但线索指示 git.php.net 官方服务器很可能遭到入侵，而不是个人的 Git 账号被窃取。恶意代码中包含了一条注解 “REMOVETHIS: sold to zerodium, mid 2017”，攻击被认为与加密货币无关，Zerodium 的 CEO Chaouki Bekrar 认为攻击者是在恶搞。恶意代码已经移除，调查正在进行之中。之前拥有写访问权限的开发者现在需要在 GitHub 加入 PHP 小组。

Google 安全团队本月中旬披露，一个顶尖黑客组织在 9 个月内利用了至少 11 个 0day 漏洞。该组织利用的漏洞被修复之后它会迅速改用另一个 0day。结果这个所谓的顶尖黑客组织被发现就是美国政府黑客，Google 的行动终止了政府黑客们的反恐行动。安全公司经常会堵上友好政府使用的漏洞，但此类的行动很少会公之于众。在这起事件中，部分 Google 雇员认为反恐任务不应该被披露，但另一部分 Google 雇员相信公司完全有权披露，此举旨在保护用户让互联网更安全。Google 在其发表的一系列博客中有意的剔除了与黑客相关的具体细节，他们知道黑客的身份和目标。但不清楚在公开披露前他们有没有提前通知政府。

在 Motherboard 报道白帽子黑客花了 16 美元购买短信转发服务就能获得一个人的所有短信后，美国主要移动运营商 T-Mobile、Verizon 和 AT&T 采取行动改变了短信路由的方法，阻止黑客截至目标手机的短信。运营商的行动影响所有移动生态系统中的短信供应商。在这之前，自称 Lucky225 的黑客只是花钱使用了商业短信营销服务商 Sakari 的服务，输入目标用户的手机号码，就能转发手机收到的短信。

安全公司 Zimperium 的研究人员发现了包含完整间谍软件功能的先进 Android 恶意程序。恶意程序伪装成系统更新，通过第三方应用商店传播。它的功能包括：窃取 IM 消息，窃取 IM 数据库文件（如果可以 root），检查默认浏览器的书签和搜索，检查 Google Chrome、 Mozilla Firefox 和 Samsung Internet Browser 的书签和搜索历史，搜索特定扩展 .pdf、.doc、 .docx、.xls 和 .xlsx 的文件，检查剪贴板数据，检查通知内容，记录音频，记录电话呼叫，利用前置或后置摄像头定期拍照，窃取照片和视频，跟踪 GPS 位置，窃取短信，等等。受影响的消息应用包括 WhatsApp。

非盈利组织 The Shadowserver Foundation 发现了 21,248 个 Exchange 电邮服务器被植入了一个后门，而与该后门程序通信的指令控制服务器域名叫 brian[.]krebsonsecurity[.]top。知名安全博客 KrebsOnSecurity 的作者 Brian Krebs 声明他与此无关。3 月 26 日 Shadowserver 注意到在入侵的 Exchange 服务器上安装新后门的尝试，后门都是安装在同一个地方 /owa/auth/babydraco.aspx。Shadowserver 的蜜罐观测到 Babydraco 后门总是执行相同的操作：运行一个 Powershell 脚本，从 159.65.136[.]128 地址上提取文件 krebsonsecurity.exe。该文件会安装 root 证书，修改系统注册表，通知 Windows Defender 不要扫描该文件。扫描显示有 21,248 台服务器被安装了 Babydraco 后门。Brian Krebs 称，黑客还在域名中包含了他的社会安全号码。