Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
Badacze z XLab wykryli poważną kampanię wymierzoną w strony oparte na popularnym systemie zarządzania treścią Ghost CMS — atakujący wykorzystali podatność SQL injection (CVE-2026-26980), by zdobyć klucz Admin API, a następnie masowo wstrzykiwali złośliwy JavaScript do artykułów na ponad 700 domenach, wśród których znalazły się strony uczelni, firm fintech, mediów i platform blockchainowych. Wstrzyknięty loader pobierał kolejne etapy ataku z serwera C2, by w końcu wyświetlić ofierze spreparowaną stronę podszywającą się pod weryfikację Cloudflare — klasyczny atak ClickFix. Gdy użytkownik klikał "Verify", strona umieszczała w jego schowku złośliwe polecenie Windows i zachęcała do jego wklejenia w terminal — a to uruchamiało pobieranie i wykonanie złośliwego oprogramowania. Mechanizm jest dwuetapowy: pierwszy loader zapisany w bazie Ghost pozwala atakującemu zmieniać scenariusz ataku bez ponownego włamania. Podatność CVE-2026-26980 była znana publicznie już od 19 lutego — wszystkie zainfekowane strony to ofiary niezałatanych instalacji. Właściciele Ghost powinni natychmiast zaktualizować CMS, przejrzeć treść artykułów pod kątem złośliwych skryptów i zrotować wszystkie klucze API — pełna lista IoC dostępna u Sekuraka.
Źródło: Sekurak [PL]
Eksperci ESET opublikowali raport obejmujący aktywność grup APT od października 2025 do marca 2026 roku, który przynosi niepokojące wiadomości dla Polski: grupy powiązane z Rosją przeprowadziły bezprecedensowy cyberatak z użyciem destrukcyjnego złośliwego oprogramowania DynoWiper przeciwko polskiej spółce z sektora energetycznego — co jest o tyle znaczące, że ataki destrukcyjne poza Ukrainą to nadal rzadkość, a cel w infrastrukturze krytycznej kraju NATO budzi poważne obawy. Równolegle rosyjska grupa Sednit atakowała ukraińskich producentów dronów, wojsko i organizacje badawczo-rozwojowe, a Sandworm eskalował zimą działania z użyciem nowych wariantów wiperów. Aktywne okazały się też grupy powiązane z Chinami, które prowadziły operacje szpiegowskie m.in. w Wenezueli, Syrii, Kambodży i Panamie, a Korea Północna (Lazarus) skompromitowała popularną bibliotekę JavaScript axios, wstrzykując złośliwe wersje przez przejęte konto głównego maintainera. Raport potwierdza, że aktywność APT jest silnie skorelowana z napięciami geopolitycznymi — cyberoperacje coraz częściej łączą klasyczne szpiegostwo z działaniami destabilizującymi.
Źródło: Dobreprogramy [PL]
Słowacka firma ESET ogłosiła nawiązanie strategicznego partnerstwa z NATO w ramach inicjatywy cyberbezpieczeństwa Sojuszu, stając się jednym z nielicznych prywatnych producentów oprogramowania ochronnego, którzy uzyskali ten status. Partnerstwo ma na celu wzmocnienie współpracy wywiadowczej i operacyjnej między sektorem prywatnym a strukturami obronnymi NATO, szczególnie w obliczu rosnącej liczby ataków APT wymierzonych w państwa członkowskie. To kolejny sygnał, że zachodnie instytucje obronne coraz poważniej traktują cyberbezpieczeństwo jako integralny element obrony zbiorowej.
Źródło: CyberDefence24 [PL]
Analitycy Sekoia szczegółowo opisali nowe narzędzie rosyjskiej grupy Gamaredon powiązanej z FSB: robak GammaWorm ukrywa swoje moduły w mało znawczej funkcji systemu Windows — NTFS Alternate Data Streams, czyli strumieniach danych przyczepnych do pliku, niewidocznych w standardowych listingach katalogów. Infekcja zaczyna się od spreparowanego pliku xHTML, który po otwarciu przemyca archiwum RAR eksploitujące znany błąd WinRAR (CVE-2025-8088) — po następnym logowaniu uruchamiany jest skrypt pobierający dalsze etapy ataku i wyświetlający fałszywy PDF, by uśpić czujność ofiary. GammaWorm uzyskuje trwałość przez zadania harmonogramu systemu udające rutynową konserwację, następnie rozprzestrzenia się na pendrive'y i dyski sieciowe, podmieniając foldery na złośliwe skróty. Do komunikacji z serwerem C2 robak wykorzystuje publiczne serwisy — Telegram i Cloudflare — jako "martwe skrzynki" do przekazywania adresów serwerów, co znacząco utrudnia blokowanie. Kampania jest aktywna co najmniej od stycznia 2026 i niemal w całości oparta na bezplikowym VBScript — wyraźny krok naprzód w zakresie ukrycia w porównaniu do wcześniejszych narzędzi Gamaredona. Bezpieczną odpowiedzią na infekcję jest pełne przywrócenie systemu — próby czyszczenia kończą się przywróceniem malware przez mechanizmy rezerwowe.
Źródło: Infosecurity Magazine [EN] / Sekoia [EN]
Hakerzy pro-irańscy odkryli i udostępnili na Telegramie instrukcję pozwalającą na przejęcie kont Instagram poprzez zmanipulowanie bota wsparcia AI Mety: atakujący łączył się z chatbotem przez VPN z adresem IP w pobliżu lokalizacji ofiary, inicjował procedurę resetu hasła i po prostu prosił bota o przypisanie nowego adresu e-mail do konta — bot grzecznie wysyłał kod jednorazowy, który umożliwiał przejęcie. W weekend za pomocą tej techniki zhakowano m.in. profil Obama White House i konto Chief Master Sergeant of the U.S. Space Force — oba zostały chwilowo zdefigurowane pro-irańskimi obrazami i komunikatami. Ekspert Black Lotus Labs komentuje wprost: chatboty AI obsługujące wrażliwe procesy odzyskiwania kont są podatne na socjotechnikę tak samo jak ludzcy konsultanci — i prawdopodobnie zobaczymy dużo więcej takich ataków. Meta wdrożyła awaryjną łatkę w weekend; co kluczowe — exploit nie działał na żadnym koncie z włączonym MFA, nawet tym słabszym (SMS). Wniosek jest prosty: włącz weryfikację dwuetapową na każdym ważnym koncie — to jedyna ochrona przed tym atakiem.
Źródło: Krebs on Security [EN]
Microsoft zidentyfikował kampanię supply chain w rejestrze npm: jeden użytkownik (vpmdhaj) opublikował 14 złośliwych pakietów w ciągu zaledwie czterech godzin, podszywając się pod popularne biblioteki OpenSearch i ElasticSearch przy pomocy typosquattingu, sfałszowanych metadanych i zawyżonych numerów wersji sugerujących długą historię wydań. Złośliwy payload uruchamia się automatycznie w momencie wykonania npm install — bez żadnej dodatkowej interakcji — przez hooki preinstall/postinstall. Nowszy wariant zamiast komunikacji z serwerem C2 przez sieć pobiera środowisko uruchomieniowe Bun z oficjalnego GitHub i dopiero przez nie wykonuje payload, co znacznie utrudnia wykrycie przez monitorowanie ruchu sieciowego. Skradzione dane obejmują klucze AWS (włącznie z Secrets Manager w 16 regionach), tokeny HashiCorp Vault, tokeny npm i dane GitHub Actions — czyli pełen arsenał sekretów niezbędnych do głębszego włamania w infrastrukturę produkcyjną. Deweloperzy, którzy zainstalowali te paczki 28 maja lub później, powinni natychmiast zrotować wszystkie wymienione poświadczenia i uruchamiać npm install z flagą --ignore-scripts.
Źródło: Sekurak [PL]
CERT Orange Polska opisuje szczegółowo niedawną operację zakłócającą działanie Glassworm — zaawansowanego robaka atakującego środowiska deweloperów poprzez złośliwe rozszerzenia VSCode i zainfekowane pakiety npm/PyPI, który skompromitował ponad 300 repozytoriów GitHub przez przejęte konta deweloperów. Najbardziej fascynującym elementem tej operacji nie jest sam malware, lecz jego architektura C2: Glassworm korzystał jednocześnie z czterech niezależnych kanałów komunikacji — blockchainu Solana, sieci peer-to-peer BitTorrent (DHT), wpisów w Google Calendar i tradycyjnych serwerów VPS — co czyniło go odpornym na standardowe metody blokowania (przejęcie domen, sinkholing, blokowanie IP). Akcja z 26 maja, przeprowadzona przez CrowdStrike, Google i Shadowserver Foundation, wymagała jednoczesnego zakłócenia wszystkich czterech warstw infrastruktury — bez tej synchronizacji jeden działający kanał wystarczyłby do odbudowy komunikacji. CERT Orange zwraca uwagę, że fizyczne przejęcie serwerów nie likwiduje całej usługi — po podobnej holenderskiej akcji przeciw bulletproof hostingowi skanowanie nie ustało, bo rdzeniowa pula adresów IP pozostała aktywna. To ważna lekcja dla obrońców: skuteczne działania zakłócające muszą obejmować cały łańcuch dostarczania usługi — nie tylko widoczne serwery.
Źródło: CERT Orange [PL]
Malwarebytes opisuje wyrafinowaną kampanię wymierzoną w użytkowników Maców: przestępcy stworzyli fałszywą stronę naśladującą popularny portfel Bitcoin BlueWallet (update-bluewallet[.]com) i nakłaniali użytkowników do pobrania pliku .applescript — uruchomienie go w wbudowanym w macOS edytorze Script Editor uruchamiało złośliwy ładunek bez konieczności przechodzenia przez zabezpieczenia Gatekeeper, bo to sam użytkownik instruuje zaufane narzędzie Apple do wykonania kodu. Malware kradnie dane z szerokiej listy przeglądarek, dziesiątek portfeli kryptowalutowych (Electrum, Exodus, Ledger Live, Phantom, MetaMask i wiele innych), menedżerów haseł (1Password, Bitwarden, Dashlane), kluczy SSH i AWS, a nawet lokalnej bazy danych Apple Notes. Najtragiczniejsza funkcja to podmienianie adresów kryptowalutowych w schowku: malware nieprzerwanie monitoruje schowek i kiedy wykryje adres BTC, ETH lub SOL, po cichu zastępuje go adresem atakującego — ofiara wysyła środki na właściwy z jej perspektywy adres, ale pieniądze lądują gdzie indziej. Bot Telegram pełni rolę centrum dowodzenia: operator może zdalnie wykonywać polecenia, pobierać pliki i uruchomić samozniszczenie — wszystko przez szyfrowany ruch HTTPS normalnie nieodróżnialny od legalnego. Nie daj się nabrać: BlueWallet to bluewallet.io — nie żadna inna domena.
Źródło: Malwarebytes [EN]
CERT Polska alarmuje o aktywnej kampanii phishingowej podszywającej się pod Alior Bank: ofiary otrzymują wiadomości e-mail z informacją o rzekomym potwierdzeniu wpłaty dotyczącym dokumentu przesłanego przez klienta — brzmi wiarygodnie i pasuje do korespondencji biznesowej. Zamiast spodziewanego dokumentu załącznik zawiera jednak złośliwe oprogramowanie zdolne do zbierania danych z zainfekowanego urządzenia, które mogą posłużyć do kolejnych, precyzyjnych ataków. CERT zwraca uwagę na kilka sygnałów ostrzegawczych: nieoczekiwane e-maile z potwierdzeniami płatności, podejrzane rozszerzenia plików (.tar, .zip, .rar, .exe, .iso), niezgodność między treścią wiadomości a rodzajem załącznika. W przypadku wątpliwości należy skontaktować się z bankiem oficjalnym kanałem — nie przez dane z podejrzanej wiadomości. Podejrzane e-maile można zgłaszać przez incydent.cert.pl lub usługę "Bezpiecznie w sieci" w aplikacji mObywatel.
Źródło: CERT Polska / moje.cert.pl [PL]
NASK ostrzega przed niepokojącym zjawiskiem: na polskich portalach sprzedażowych pojawiają się ogłoszenia, w których dzieci i nastolatki "wystawiają na sprzedaż" swoich rówieśników — ogłoszenia zawierają ich imiona i wizerunki, a w opisach znajdują się obraźliwe komentarze dotyczące wyglądu czy orientacji seksualnej ("karmić tylko przez kij, nie jest szczepiony"). Algorytm platformy w niektórych przypadkach promował takie ogłoszenia na stronie głównej jako sugerowane oferty — bo ich treść technicznie mieściła się w istniejących kategoriach. Zespół Dyżurnet.pl klasyfikuje to wprost jako cyberprzemoc: zarówno jednorazowe, jak i długotrwałe doświadczanie tego rodzaju upokorzenia jest prawdziwą tragedią dla dzieci, a łatwość zakładania kont na takich platformach sprawia, że sprawcą może być dosłownie każdy. Platforma usuwa zgłaszane treści, ale podobne ogłoszenia mogą pojawiać się na innych serwisach. Rodzice i pedagodzy powinni rozmawiać z dziećmi o konsekwencjach — zarówno prawnych (wizerunek to dane osobowe), jak i psychologicznych dla ofiary. Zgłoszenia: dyzurnet.pl.
Źródło: CyberDefence24 [PL]
Badacze Seqrite Labs ujawnili kampanię szpiegowską chińskich hakerów o kryptonimie Operation Dragon Weave, wymierzoną w instytucje rządowe, naukowe, finansowe i technologiczne w Czechach i na Tajwanie. Atakujący rozsyłają precyzyjne wiadomości spear-phishingowe z archiwami ZIP zawierającymi skróty LNK podszywające się pod dokumenty PDF — ich kliknięcie uruchamia złożony łańcuch infekcji prowadzący do zainstalowania agenta AdaptixC2 o kryptonimie AZUREVEIL. Najbardziej przebiegły element tej kampanii to sposób komunikacji z serwerem C2: AZUREVEIL używa Microsoft Azure Blob Storage — tej samej usługi, z której korzystają tysiące legalnych firm — przez co jego ruch sieciowy jest praktycznie nieodróżnialny od normalnej aktywności korporacyjnej. Zamiast klasycznego modelu C2, atakujący i zainfekowany system nigdy nie komunikują się bezpośrednio — obydwie strony korzystają z tego samego kontenera Azure do wymiany poleceń i danych ("martwa skrzynka"). Jednocześnie raport ESET potwierdza, że Chiny utrzymują wysoki poziom aktywności globalnie — nowo odkryta grupa SteppeDriver atakuje podmioty we Francji, Mongolii i Ameryce Południowej, a UNC5221 wdraża nowy backdoor PhiliKit. Dla polskich i europejskich organizacji wniosek jest jasny: biały ruch Azure to już nie jest gwarancja bezpieczeństwa.
Źródło: The Hacker News [EN]
CyberDefence24 donosi, że ukraińskie wojsko wykorzystuje system Palantir do koordynowania ataków dronami sięgających głęboko w terytorium Rosji — Palantir to platforma analityki danych i wywiadu sytuacyjnego, używana przez armie zachodnie do przetwarzania w czasie rzeczywistym danych z różnych źródeł rozpoznania i automatycznego wspomagania decyzji taktycznych. Użycie takiego systemu przez Ukrainę oznacza, że granica między tradycyjną wojną kinetyczną a zaawansowanymi operacjami cyfrowymi i AI praktycznie przestała istnieć na polu walki — decyzje o ataku są wspomagane przez algorytmy analizujące dane z dronów rozpoznawczych, satelitów i innych czujników, co znacząco skraca czas od identyfikacji celu do wykonania uderzenia. To kolejny sygnał, że technologie rozwijane w ekosystemie cyberbezpieczeństwa i AI trafiają bezpośrednio na front, zmieniając charakter współczesnych konfliktów. Rosja od miesięcy oskarża zachodnie platformy technologiczne o bezpośredni udział w wojnie — w świetle takich doniesień te twierdzenia nabierają bardziej konkretnego wymiaru.
Źródło: CyberDefence24 [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 2 czerwca 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.
