Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
BleepingComputer opisuje jedną z największych operacji FBI w historii walki z phishingiem: rozbito platformę PhaaS (Phishing-as-a-Service) używającą AI do automatycznego generowania i zarządzania ponad milionem unikalnych adresów URL phishingowych dziennie. AI była używana do tworzenia dynamicznych wariacji stron phishingowych, które zmieniały wygląd i zawartość w czasie rzeczywistym, aby omijać filtry bezpieczeństwa poczty i przeglądarek. Platforma obsługiwała tysiące przestępczych klientów na całym świecie i generowała dziesiątki milionów prób phishingu miesięcznie. To bezpośredni sygnał do branży: tradycyjne sygnatury i blacklisty URL są niewystarczające wobec dynamicznych, AI-generowanych kampanii.
Źródło: BleepingComputer [EN]
Socket.dev i JFrog Research opisują nową fazę kampanii Shai Hulud: po npm i GitHub, złośliwy robak supply chain zaatakował teraz PyPI — repozytorium pakietów Pythona. Socket.dev identyfikuje kampanię jako "Hades" (kolejna ewolucja po "Miasma"), a JFrog opisuje "Iron Worm" — bliskiego krewnego Shai Hulud napisanego w Rust, atakującego crates.io. Jednoczesne ataki na npm, PyPI i crates.io przez powiązane narzędzia sugerują zorganizowaną, wieloekosystemową operację supply chain o niespotykanej dotąd skali. Deweloperzy wszystkich technologii powinni audytować swoje zależności.
Źródło: Socket.dev [EN], JFrog Research [EN]
CyberDefence24 publikuje mocny komentarz: polska cyberbezpieczeństwo od lat produkuje dokumenty strategiczne, polityki i roadmapy, lecz brakuje im przemysłowego fundamentu. Autor argumentuje, że bez własnych zdolności produkcji technologii — procesorów, bezpiecznych chipów, sprzętu komunikacyjnego — każda strategia pozostaje deklaracją. Decyzja USA o ograniczeniu eksportu modeli AI klasy Mythos jest dobitnym przypomnieniem: uzależnienie technologiczne jest luką bezpieczeństwa. Polska powinna inwestować w krajową technologię, nie tylko w regulacje.
Źródło: CyberDefence24 [PL]
Endorlabs odkrył złośliwy payload ukryty w popularnej paczce npm przeznaczonej dla programistów budujących aplikacje z Ollama (open source AI framework). Malware kradł tokeny API, klucze OpenAI i inne poświadczenia deweloperskie, a następnie eksfiltrował je na serwer atakujących. To szczególnie dotkliwe: pakiet był specyficznie targetowany na developerów AI, których środowiska zawierają klucze do LLM API, bazy danych i infrastrukturę produkcyjną. Ataki supply chain coraz bardziej specjalizują się pod konkretne ekosystemy technologiczne.
Źródło: Endorlabs [EN]
Google Cloud Threat Intelligence opublikował badanie szczegółowo opisujące wielomiesięczną kampanię szpiegowską wymierzoną w duże kancelarie prawne w USA. Atakujący infiltrowali skrzynki mailowe kluczowych prawników, monitorując poufne strategie procesowe, informacje o fuzjach i przejęciach i treści komunikacji uprzywilejowanej klient-prawnik. Kancelarie prawne są wyjątkowo atrakcyjnym celem: mają dostęp do tajemnic korporacyjnych najważniejszych firm, a standardy bezpieczeństwa IT tradycyjnie były w tej branży niższe niż w sektorze finansowym.
Źródło: Google Cloud Threat Intelligence [EN]
FrenchBreaches.com ujawnia nowe, wstrząsające dane o naruszeniu bezpieczeństwa platformy rządowej Tchap: zamiast wcześniej podawanych 73 000 kont, faktyczna skala wycieku obejmuje 643 000 wiadomości wymienianych przez francuskich urzędników. Zawartość wiadomości obejmuje komunikację między departamentami, koordynację projektów rządowych i być może treści klasyfikowane. To jedna z poważniejszych ekspozycji komunikacji rządowej w historii UE. Francja prowadzi śledztwo, lecz skala wycieku jest trudna do naprawienia.
Źródło: FrenchBreaches.com [FR]
The Guardian ujawnia: Niantic, twórca Pokémon GO, licencjonował szczegółowe dane GPS i przestrzenne zebrane przez graczy aplikacji — miliardy punktów lokalizacyjnych ze wszystkich zakątków globu — do firm obronnych, które używały tych danych do trenowania systemów AI naprowadzających wojskowe drony. Miliony nieświadomych graczy budowało przez lata szczegółową mapę przestrzenną świata, która trafiła do wojskowych aplikacji. Dobreprogramy opisuje reakcję Niantic — firma odpiera część zarzutów. Sprawa otwiera fundamentalne pytania o prywatność w popularnych aplikacjach.
Źródło: The Guardian [EN], Dobreprogramy [PL]
CERT Orange Polska opisuje nową kampanię: fałszywa platforma bukmacherska operująca przez deepfake'owe reklamy — wygenerowane filmy z udziałem rozpoznawalnych postaci zachwalających "rewolucyjny system typowania". Strona jest precyzyjną kopią legalnej platformy z widocznymi "wygranymi" i fałszywymi certyfikatami. CERT Orange dostarcza szczegółowej listy sygnałów ostrzegawczych: jak rozpoznać deepfake w reklamie, jak sprawdzić licencję bukmachera i jak nie dać się wciągnąć w pułapkę fałszywych historii sukcesu.
Źródło: CERT Orange Polska [PL]
CySecurity News opisuje zakrojoną na szeroką skalę kampanię SEO poisoning wymierzoną w użytkowników szukających informacji o stronach hazardowych i kasynach online: przestępcy pozycjonują fałszywe platformy na szczycie wyników wyszukiwania, kradnąc dane kart płatniczych i depozyty. Kampania jest szczególnie aktywna w krajach Azji Południowo-Wschodniej, lecz europejscy użytkownicy szukający legalnych kasyn online również padają ofiarą. Hazard online pozostaje jedną z najczęściej eksploatowanych nisz dla fraudów internetowych.
Źródło: CySecurity News [EN]
Hackread opisuje malware Argamal ukryty w pirackich grach dla dorosłych (hentai games) dystrybuowanych przez alternatywne platformy gamingowe. Po zainstalowaniu "gry" malware kradnie hasła z przeglądarki, pliki cookies i portfele kryptograficzne. Kampania jest celowo adresowana do wąskiej grupy użytkowników szukających nielegalnych treści: wstyd przed przyznaniem się do zainfekowania przez "grę hentai" sprawia, że ofiary rzadziej zgłaszają incydent. Pirackie oprogramowanie to jeden z najczęstszych wektorów infekcji — niezależnie od kategorii treści.
Źródło: Hackread [EN]
Sekoia.io opublikowała szczegółową analizę ewolucji technik grupy APT28 (Fancy Bear, Sofacy) — elitarnej jednostki cybernetycznej rosyjskiego wywiadu wojskowego GRU. Raport dokumentuje nowe taktyki: zmianę infrastruktury C2 z VPS na usługi chmurowe legalnych dostawców (Azure, AWS), stosowanie nowych implantów napisanych w Rust i Go zamiast tradycyjnych C/C++ narzędzi, oraz precyzyjniejsze targetowanie wybranych ofiar z dłuższym czasem "siedzenia w cieniu". APT28 pozostaje jedną z najbardziej aktywnych i technologicznie zaawansowanych grup APT na świecie.
Źródło: Sekoia.io Blog [EN]
Watchdog Polska Sieć Obywatelska opublikowała analizę narastającego napięcia między prawem do informacji publicznej a potrzebami bezpieczeństwa państwa. Artykuł pyta: gdzie kończy się demokratyczna transparentność, a zaczyna ryzyko dla bezpieczeństwa? W dobie ataków hybrydowych nawet "niewinne" informacje o organizacji służb lub infrastrukturze krytycznej mogą stać się cennym zasobem wywiadowczym. Autorzy opowiadają się za systemem klas jawności opartym na rzeczywistej analizie ryzyka, nie ogólnych wyjątkach blokujących dostęp do informacji.
Źródło: Sieć Obywatelska Watchdog Polska [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 14 czerwca 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.
