Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
Badacze bezpieczeństwa z EclecticIQ opisani przez Sekurak alarmują o trwającej kampanii wymierzonej w programistów szukających instalatorów narzędzi AI: Gemini CLI i Claude Code. Atakujący stosują SEO poisoning — fałszywe domeny pozycjonują się powyżej oficjalnych witryn w wynikach wyszukiwania. Strony perfekcyjnie odwzorowują autentyczne strony instalacyjne, ale w pobranym pakiecie — poza samym agentem AI — ukryty jest złośliwy kod. Kampania jest szczególnie niebezpieczna, bo celuje w programistów: osoby, których maszyny zawierają klucze dostępowe do repozytoriów, cloud environments i pipeline'ów CI/CD. Jedyne bezpieczne źródło: cloud.google.com/gemini/docs dla Gemini CLI i docs.anthropic.com dla Claude Code.
Źródło: Sekurak [PL]
BleepingComputer informuje o aktywnej eksploatacji nowej podatności w Cisco SD-WAN, która umożliwia nieuwierzytelnionemu atakującemu uzyskanie dostępu root do urządzenia sieciowego. To szósta aktywnie exploitowana luka w Cisco SD-WAN w ciągu 2026 roku — seria, która nie ma precedensu w historii tej platformy. SD-WAN firmy Cisco zarządza ruchem sieciowym w tysiącach dużych organizacji na całym świecie. Administratorzy muszą natychmiast wdrożyć dostępne łatki i sprawdzić logi pod kątem oznak kompromitacji.
Źródło: BleepingComputer [EN]
Infosecurity24.pl opisuje prace rządowe nad nowelizacją ustawy o ochronie informacji niejawnych — pierwszą istotną aktualizacją od ponad dekady. Zmiany mają dostosować prawo do realiów konfliktu hybrydowego: lepiej chronić tajemnice wojskowe i infrastrukturalne w dobie wycieków przez chmurę i komunikatory, uregulować zasady klasyfikacji informacji w kontekście działalności wywiadowczej i przeciwdziałać rosyjskim operacjom pozyskiwania informacji przez agentów jednorazowych. Projekt trafi do konsultacji społecznych w lipcu.
Źródło: Infosecurity24.pl [PL]
Security Affairs opisuje nowe ustalenia dotyczące grupy PCPJack: badacze zidentyfikowali całą sieć 230 węzłów — serwerów chmurowych skonfigurowanych jako przekaźniki poczty e-mail — używanych do prowadzenia masowych kampanii phishingowych. Sieć jest zbudowana na zhakowanych lub wynajętych tanio serwerach VPS, co utrudnia blokowanie przez filtry antyspamowe (wiele węzłów ma "czyste" adresy IP nieobecne na blacklistach). PCPJack używał tej infrastruktury do kampanii credential stealing, w tym ataków na systemy bankowe w Polsce i Europie.
Źródło: Security Affairs [EN]
BleepingComputer opisuje incydent bezpieczeństwa przeglądarki Hola Browser (znana z usługi VPN jako Hola): przez około 48 godzin oficjalny instalator Hola Browser dla Windows zawierał ukrytego cryptominera. Każdy, kto pobrał i zainstalował przeglądarkę w tym oknie, nieświadomie przekazał część mocy swojego procesora do kopania kryptowaluty dla atakujących. Hola usunęła złośliwą wersję po zgłoszeniu. To kolejny przykład kompromitacji infrastruktury dystrybucji oprogramowania jako wektora ataku supply chain.
Źródło: BleepingComputer [EN]
Tabletowo informuje o cyberataku na Ultrahuman — producenta inteligentnych pierścieni monitorujących zdrowie (tętno, sen, aktywność fizyczną). Firma ujawniła, że atakujący uzyskali nieautoryzowany dostęp do jej systemów. Dane biometryczne i zdrowotne użytkowników to wyjątkowo wrażliwa kategoria danych — informacje o wzorcach snu, tętnie i aktywności mogą ujawniać stan zdrowia, nawyki życiowe i wzorce zachowania. Ultrahuman prowadzi śledztwo i powiadomiła użytkowników.
Źródło: Tabletowo [PL]
CERT Orange Polska opublikował szczegółową analizę techniczną odkrytej kampanii ClickFix, która używa sieci blockchain Polygon (warstwa 2 Ethereum) jako infrastruktury Command and Control. Instrukcje dla zainfekowanego malware są zakodowane w transakcjach blockchain — co czyni infrastrukturę C2 praktycznie niemożliwą do "wyłączenia" przez tradycyjne działania organów ścigania. Analiza CERT Orange ujawnia cały łańcuch ataku: od SEO poisoning przez ClickFix do komunikacji przez immutable blockchain. To jeden z pierwszych publicznie opisanych przypadków użycia publicznego blockchainu jako C2 w rzeczywistej kampanii w Polsce.
Źródło: CERT Orange Polska [PL]
BleepingComputer opisuje niepokojące odkrycie badaczy: ponad 900 systemów automatycznego pomiaru zbiorników paliwa (ATG) na stacjach benzynowych w Stanach Zjednoczonych jest dostępnych bez uwierzytelnienia przez publiczny internet. ATG-i sterują ważnymi funkcjami operacyjnymi stacji — mogą być użyte do fałszowania odczytów poziomu paliwa, dezaktywacji alarmów wycieków lub zakłócenia dostaw. To ta sama klasa systemów, które Iran atakował w maju. Teraz badacze dokumentują, jak wiele z nich jest w praktyce niezabezpieczonych.
Źródło: BleepingComputer [EN]
Dobreprogramy opisują nową technikę phishingową: masowe SMS-y informują odbiorców o rzekomym "naruszeniu danych osobowych" i wymagają "weryfikacji tożsamości" w ciągu 24 godzin — pod groźbą zawieszenia kont. Wiadomości powołują się na RODO i brzmią urzędowo. Przestępcy liczą na to, że strach przed naruszeniem prywatności skłoni ofiary do kliknięcia linku i podania danych. Żaden organ ochrony danych ani firma nie kontaktuje się przez SMS z prośbą o weryfikację tożsamości po rzekomym wycieku — takie działanie byłoby samo w sobie naruszeniem RODO.
Źródło: Dobreprogramy [PL]
Dobreprogramy relacjonuje równoległe komunikaty bezpieczeństwa dwóch banków — Pekao i Erste Bank Polska (George) — ostrzegające przed aktywnymi kampaniami phishingowymi. Obie kampanie stosują różne schematy (fałszywe alerty o blokadzie konta, podejrzanej transakcji, konieczności aktualizacji danych), lecz cel jest ten sam: skłonienie klienta do zalogowania się przez fałszywą stronę banku. Aktywność równoległa wobec dwóch banków w tym samym czasie sugeruje, że ta sama grupa przestępcza prowadzi obie kampanie.
Źródło: Dobreprogramy [PL], Dobreprogramy [PL]
The Hacker News opisuje nasilającą się falę scamów związanych z Mistrzostwami Świata FIFA 2026 (które odbędą się w USA, Kanadzie i Meksyku w czerwcu-lipcu 2026). Setki fałszywych stron sprzedaży biletów, lotteries i konkursów zbierają płatności za bilety, które nie istnieją, lub dane kart płatniczych za "weryfikację tożsamości uczestnika". Atakujący kupują domeny z nazwami FIFA, WorldCup2026, WC2026 i podobnymi. Bilety na Mundial należy kupować wyłącznie przez oficjalny portal FIFA — tickets.fifa.com.
Źródło: The Hacker News [EN]
CyberDefence24 opisuje raport analityczny wskazujący, że małe i średnie przedsiębiorstwa (MŚP) w Polsce stały się priorytetowym celem cyberprzestępczych kampanii w 2026 roku. Grupy ransomware i APT "schodzą niżej" w hierarchii wielkości celów: duże korporacje mają silną ochronę, MŚP — nie. Jednocześnie dane z MŚP (podwykonawcy, dostawcy, partnerzy handlowi dużych firm) są atrakcyjne jako droga bocznego wejścia do większych organizacji. Artykuł zawiera przegląd konkretnych kampanii zidentyfikowanych przez polskie zespoły CTI w ostatnich tygodniach.
Źródło: CyberDefence24 [PL]
Security Affairs opisuje nową technikę ataku nazwaną "Fake Context Alignment": przez spreparowanie powiadomień systemowych (np. e-maili, SMS-ów, alertów) docierających do użytkownika asystenta Gemini, atakujący był w stanie wstrzyknąć fałszywy kontekst, sprawiając, że Gemini wykonywał instrukcje od osób postronnych — nie od właściciela urządzenia. To ewolucja prompt injection: zamiast bezpośrednio manipulować AI, manipuluje się danymi wejściowymi, które AI uznaje za zaufane. Google pracuje nad poprawką.
Źródło: Security Affairs [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 5 czerwca 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.
