Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
The Hacker News opisuje krytyczną podatność w oficjalnej integracji Claude Code z GitHub Actions: specjalnie skonstruowane zdarzenie w workflow mogło automatycznie eksfiltrować wszystkie sekrety środowiskowe repozytorium — klucze API, tokeny OAuth, hasła do baz danych i poświadczenia dostępu do usług chmurowych. Luka istniała w mechanizmie, który Claude Code stosował do interakcji z pipeline'ami CI/CD. Anthropic naprawiło problem po odpowiedzialnym zgłoszeniu przez badaczy. Dla organizacji korzystających z Claude Code w GitHub Actions zalecana jest weryfikacja logów z okresu podatności i rotacja wszystkich sekretów pipeline'ów "profilaktycznie".
Źródło: The Hacker News [EN]
Security Affairs potwierdza: CVE-2026-20230 w Cisco Unified CM — platformie zarządzania komunikacją głosową i wideo dla przedsiębiorstw — jest teraz uzupełniony o publicznie dostępny kod exploitujący. Luka umożliwia nieuwierzytelnionemu atakującemu uzyskanie dostępu do funkcji administracyjnych i potencjalnie całkowitą kontrolę nad systemem komunikacyjnym organizacji. Cisco wydało łatkę — fakt pojawienia się publicznego PoC dramatycznie skraca okno, w którym niezałatane systemy są bezpieczne.
Źródło: Security Affairs [EN]
Telepolis relacjonuje przełomowe (i przerażające) badanie: naukowcy zbudowali prototypowy robak złośliwego oprogramowania wspomagany AI, który — w odróżnieniu od tradycyjnego malware z zakodowanymi technikami — adaptuje swoje metody ataku w czasie rzeczywistym, ucząc się z każdej nieudanej próby. Robak próbuje różnych technik ekploitacji i eskalacji uprawnień, zapamiętuje, co zadziałało, i optymalizuje kolejne próby. Badanie ma charakter "proof-of-concept" i nie zostało opublikowane jako gotowy do użycia malware — celem jest uświadomienie branży, jak wkrótce może wyglądać ofensywna AI w rękach cyberprzestępców.
Źródło: Telepolis [PL], Help Net Security [EN]
BleepingComputer opisuje nową kampanię supply chain: 36 złośliwych pakietów npm opublikowanych pod zmyślonymi nazwami i przez fałszywe konta, zbiorowo nazwanych "IronWorm" ze względu na mechanizm trwałości. Po instalacji malware kradnie poświadczenia CI/CD, tokeny środowiskowe i klucze AWS/Azure/GCP. IronWorm specjalizuje się w cierpliwym zbieraniu sekretów przez czas — zamiast natychmiastowej eksploatacji, czeka, aż zainfekowany system wykona autentyczne operacje, i przechwytuje dane przy ich użyciu.
Źródło: BleepingComputer [EN]
BleepingComputer potwierdza naruszenie danych Światowego Programu Żywnościowego ONZ (WFP): cyberatak ujawnił dane identyfikacyjne i informacje o przydziale pomocy dla prawie 600 000 rodzin w Gazie. To wyjątkowo wrażliwe dane — zawierające lokalizacje, nazwiska beneficjentów i szczegóły dotyczące potrzeb humanitarnych — które w rękach złych aktorów mogą być użyte do identyfikacji i krzywdzenia osób wymagających ochrony. WFP prowadzi śledztwo i pracuje nad przywróceniem integralności systemów.
Źródło: BleepingComputer [EN]
Hackread opisuje najnowszą kampanię grupy Lazarus: "brandjacking" pakietów npm — tworzenie złośliwych paczek o nazwach zbliżonych do popularnych legalnych bibliotek (np. ethers-io-utils zamiast ethers lub web3-util zamiast web3). Deweloperzy projekci kryptograficznych, pospieszeni lub automatyzujący instalacje, pobierają złą paczkę. Malware kradnie klucze prywatne portfeli krypto i dane uwierzytelniające z CI/CD. Lazarus w 2026 roku wzbogacił się tym sposobem o kolejne dziesiątki milionów dolarów.
Źródło: Hackread [EN]
Tech.wp.pl opisuje sensacyjne odkrycie: model AI — działający podobnie jak słynne badania nad manuskryptem Wojnicza — zdołał odczytać i odszyfrować tekst z zakodowanego dokumentu z archiwów watykańskich, datowanego na XVII wiek. Rękopis zawierał zaszyfrowane instrukcje dla zakonników dotyczące spraw, które Kościół uważał za zbyt wrażliwe do jawnego zapisania. Odkrycie jest dowodem na to, że AI dosłownie "otwiera" zapieczętowane przez stulecia zasoby historyczne. To nieoczywiste zastosowanie LLM — nie w cyberbezpieczeństwie, lecz w historiografii.
Źródło: Tech.wp.pl [PL]
SecurityWeek i The Hacker News opisują grupę TA4922 (powiązaną z Chinami) jako jednego z najaktywniejszych aktorów cyberprzestępczych pierwszej połowy 2026 roku: rekordowe tempo kampanii phishingowych wymierzonych w UK, Niemcy, Holandię i kraje Azji Południowo-Wschodniej z nowym narzędziem SilentRunLoader. Grupa dysponuje rozbudowaną infrastrukturą i automatyzuje dystrybucję kampanii w sposób dotychczas spotykany wyłącznie w operacjach sponsorowanych przez państwo. Celem jest kradzież danych korporacyjnych, własności intelektualnej i credentials.
Źródło: SecurityWeek [EN]
Virtual-IT.pl opisuje paradoks na rynku pracy w cyberbezpieczeństwie: mimo rosnącego popytu i rosnących zagrożeń, rekrutacja na stanowiska cyberbezpieczeństwa wyhamowała w pierwszej połowie 2026 roku. Przyczyny: firmy wstrzymują zatrudnienie, licząc na wypełnienie luk przez narzędzia AI; zmienia się profil poszukiwanego kandydata (mniej specjalistów technicznych, więcej "AI operators"); budżety na cybersec są priorytyzowane na narzędzia, nie na ludzi. Jednocześnie liczba incydentów bezpieczeństwa rośnie — prosta ścieżka do przyszłego kryzysu.
Źródło: Virtual-IT.pl [PL]
The Hacker News opisuje kampanię nadużywającą serwisu reklamowego Google DoubleClick do hostowania stron phishingowych: atakujący tworzą na infrastrukturze DoubleClick strony imitujące logowanie do usług Google, Microsoft lub banków. Ofiara widzi adres w domenie googlesyndication.com lub doubleclick.net — domenach z certyfikatem Google, które wiele filtrów phishingowych traktuje jako zaufane. To kolejny przykład "living off trusted infrastructure" — przestępcy coraz powszechniej używają legalnych platform, by omijać ochronę.
Źródło: The Hacker News [EN]
Informatyk Zakładowy opublikował refleksje na temat platformy Backblaze — popularnego dostawcy taniego backupu w chmurze, szeroko stosowanego przez małe firmy i freelancerów. Artykuł nie jest atakiem na firmę, lecz poważną rozmową: jak głęboko ufamy dostawcom usług backupowych i czy mamy plan na wypadek, gdy to oni staną się ofiarą ataku lub zamkną działalność? Backup w chmurze jest tylko tak dobry, jak zaufanie do dostawcy i jak często testujemy odtwarzanie. Temat wyjątkowo aktualny po serii ataków ransomware na dostawców backupu w 2025 roku.
Źródło: Informatyk Zakładowy [PL]
BleepingComputer opisuje Atlas RAT — nowego trojana zdalnego dostępu aktywnie używanego przez chińskie grupy APT w kampaniach wymierzonych w europejskie firmy i instytucje. Atlas RAT wyróżnia się modułową architekturą: bazowy implant jest lekki i trudny do wykrycia, a kolejne moduły (keylogger, screenshot, file exfil) są ładowane na żądanie. Kampania obejmuje co najmniej kilkanaście krajów europejskich i celuje w sektory: obronny, telekomunikacyjny, energetyczny i rządowy.
Źródło: BleepingComputer [EN]
Hackread opisuje alert Five Eyes (USA, UK, Kanada, Australia, Nowa Zelandia): chińskie służby wywiadowcze intensyfikują operacje rekrutacyjne wymierzone w byłych i aktywnych wojskowych oraz pracowników wywiadowczych krajów sojuszniczych — przez fałszywe "oferty pracy" na LinkedIn, specjalistycznych portalach dla weteranów i w kontaktach prywatnych. Oferty obiecują lukratywne stanowiska w chińskich firmach konsultingowych — w zamian za "informacje o aktualnym środowisku pracy". Kilka byłych oficerów zostało już oskarżonych o przyjęcie pieniędzy w zamian za poufne informacje.
Źródło: Hackread [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 4 czerwca 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.
