Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
CyberDefence24 informuje, że minister cyfryzacji Krzysztof Gawkowski oficjalnie stwierdził, że za ostatnimi głośnymi cyberatakami na polską infrastrukturę krytyczną — w tym szpitale, sektor energetyczny i wodociągi — stoją rosyjskie i białoruskie służby wywiadowcze. Rząd nazwał te działania „cyberterroryzmem" i zapowiedział, że Polska będzie odpowiadać adekwatnie. Przed polskimi służbami zostało już postawione formalne zadanie w tym zakresie. To ważna zmiana w retoryce — publiczne, oficjalne przypisanie ataków konkretnym podmiotom państwowym jest krokiem w kierunku polityki odstraszania i może stanowić podstawę do działań dyplomatycznych i prawnych.
Źródło: CyberDefence24 [PL]
Infosecurity Magazine opisuje odkrycie przez Ox Security krytycznej, systemowej luki w protokole Model Context Protocol (MCP) — otwartym standardzie Anthropic umożliwiającym modelom AI łączenie się z zewnętrznymi systemami. Błąd w interfejsie STDIO polega na tym, że komenda uruchamiania serwera wykonywana jest niezależnie od tego, czy proces startuje prawidłowo — co pozwala wstrzyknąć złośliwe polecenie bez żadnych ostrzeżeń w narzędziach developerskich. Potencjalnie narażonych jest ponad 200 projektów open source, 150 milionów pobrań i 7000+ publicznie dostępnych serwerów. Niepokojące: Anthropic po poinformowaniu o problemie oświadczyło, że jest to oczekiwane zachowanie i odpowiedzialność za sanityzację spoczywa na deweloperach.
Źródło: Infosecurity Magazine [EN]
SecurityWeek opisuje nowe badanie, w którym odkryto, że agenty AI do kodowania — Claude Code, Gemini CLI i GitHub Copilot — mogą zostać zaatakowane przez prompt injection ukryte w komentarzach w kodzie. Atakujący może zamieścić specjalnie spreparowany komentarz w publicznym repozytorium lub pliku konfiguracyjnym, który po przeczytaniu przez agenta AI powoduje, że wykonuje on nieoczekiwane działania: usuwa pliki, wysyła dane do zewnętrznych serwerów lub modyfikuje zachowanie agenta. Kapitan Hack zauważa, że skala zjawiska jest zaskakująca — AI coraz częściej skanuje kod, który może zawierać wrogie polecenia. To nowa klasa zagrożeń wymagająca nowych mechanizmów ochrony.
Źródło: SecurityWeek [EN] | Kapitan Hack [PL]
Infosecurity24 informuje, że funkcjonariusze ABW zatrzymali w Poznaniu żołnierza 12. Wielkopolskiej Brygady Obrony Terytorialnej pod zarzutem brania udziału w działalności obcego wywiadu na szkodę Polski. Sprawa dotyczy okresu od lipca 2023 do kwietnia 2024 roku — mężczyzna wstąpił do WOT dopiero w marcu 2024. Zgodnie z doniesieniami Gazety Wyborczej, dziewięć dni przed zatrzymaniem uczestniczył w wiecu prorosyjskiego ruchu Rodacy Kamraci. Sąd nie zgodził się na areszt, a mężczyzna został zwolniony ze służby. Sprawa jest o tyle poważna, że WOT ma dostęp do informacji o infrastrukturze obronnej i szlakach logistycznych NATO.
Źródło: Infosecurity24 [PL]
CyberDefence24 i AVLab informują o publikacji przez grupę ransomware Interlock ponad 850 GB danych wykradzionych z Wydziału Zarządzania Uniwersytetu Warszawskiego. Wśród opublikowanych materiałów znalazły się nie tylko typowe dane osobowe (imię, nazwisko, PESEL), ale też numery telefonów, stany cywilne, miejsca urodzenia, dane o dzieciach, a nawet waga, wzrost i kolor oczu — co sugeruje, że w bazach znajdowały się np. ankiety pracownicze lub formularze HR. Sam atak miał miejsce w lutym — przez dwa miesiące uczelnia informowała, że nie stwierdzono nieautoryzowanego dostępu do danych osobowych. AVLab zwraca uwagę, że pobranie opublikowanych przez Interlock plików może narażać na odpowiedzialność prawną.
Źródło: CyberDefence24 [PL] | AVLab [PL]
The Register ujawnia nowe szczegóły naruszenia danych w wydawnictwie edukacyjnym McGraw-Hill: atak dotknął 13,5 miliona rekordów i jest powiązany ze skompromitowaną instancją Salesforce. Wcześniej potwierdzono wyciek 135 milionów kont — skala naruszenia okazuje się być jednym z największych w historii sektora EdTech. W bazach danych McGraw-Hill znajdują się informacje o milionach studentów, nauczycieli i instytucji edukacyjnych z całego świata. HaveIBeenPwned (HIBP) Troy Hunta potwierdził dodanie bazy McGraw-Hill do systemu monitorowania naruszeń.
Źródło: The Register [EN]
The Hacker News, Security Affairs i SecurityBezTabu opisują nową kampanię grupy UAC-0247 wymierzoną w ukraińskie instytucje medyczne i rządowe przy użyciu nieznanego wcześniej malware AgingFly. Złośliwe oprogramowanie jest drostatecznie sofistykowane, by unikać popularnych sandboxów i systemów EDR — zawiera moduły do trwałości, kradzieży danych i tunelowania komunikacji. Kampania jest powiązana z rosyjskim wywiadem wojskowym i wpisuje się w wzorzec ataków na infrastrukturę krytyczną Ukrainy od początku konfliktu zbrojnego. AgingFly jest szczególnie groźny dla szpitali, bo systemy medyczne rzadko mają zaawansowane narzędzia wykrywania.
Źródło: The Hacker News [EN] | Security Affairs [EN] | SecurityBezTabu [PL]
Virtual-IT opisuje nowe badanie pokazujące, że w ponad połowie firm, które doświadczyły cyberataków, konsekwencje ponieśli menedżerowie najwyższego szczebla — od grzywien finansowych po utratę stanowisk w zarządzie. To znacząca zmiana w porównaniu z poprzednimi latami, gdy odpowiedzialność za incydenty bezpieczeństwa najczęściej spoczywała wyłącznie na działach IT. Badanie jest spójne z regulacjami NIS2 i DORA, które wprost nakładają odpowiedzialność osobistą na zarządy za polityki cyberbezpieczeństwa organizacji. Dla CISO to pozytywna zmiana — bezpieczeństwo staje się wreszcie tematem rozmów na poziomie C-suite, a nie tylko technicznym problemem IT.
Źródło: Virtual-IT [PL]
Telepolis opisuje rosnącą falę oszustwa „pig butchering light" w Polsce: ofiara otrzymuje SMS lub wiadomość na WhatsApp z prośbą o pilną przysługę finansową — rzekomo od znajomego w potrzebie. Kwoty zaczynają się od małych (kilkaset złotych), a po pierwszej wpłacie atakujący eskaluje roszczenia. W opisywanym przypadku strata wyniosła 800 zł, ale w innych przypadkach sięga dziesiątek tysięcy. Mechanizm jest prosty: cyberprzestępcy kupują bazy numerów telefonów i masowo wysyłają wiadomości, licząc że kilka procent odbiorców „uwierzy". Zasada: każda prośba o przelew przez SMS lub komunikator — nawet od „znajomego numeru" — wymaga telefonicznej weryfikacji głosowej.
Źródło: Telepolis [PL]
Malwarebytes opisuje nową kampanię phishingową, w której atakujący stworzyli stronę typosquattingową imitującą oficjalną stronę Slack i umieszczali na niej trojana zamiast prawdziwej aplikacji. Po instalacji malware tworzy ukryty „wirtualny pulpit" na maszynie ofiary — kompletne, niewidoczne dla użytkownika środowisko graficzne, przez które atakujący mogą w pełni zdalnie sterować komputerem. Technika jest podstępna, bo od strony użytkownika Slack wydaje się działać normalnie — nic nie wskazuje na infekcję. Zawsze pobieraj Slack wyłącznie z slack.com lub ze sklepu systemowego — unikaj wyników Google Ads i linków z e-maili.
Źródło: Malwarebytes [EN]
BleepingComputer informuje o aktywnym eksploatowaniu krytycznej podatności auth bypass w Nginx-UI — popularnym graficznym interfejsie webowym do zarządzania konfiguracją serwerów Nginx. Luka umożliwia dostęp do panelu administracyjnego bez podania hasła, co w praktyce oznacza możliwość przejęcia konfiguracji serwera webowego. Infosecurity Magazine potwierdza, że exploitacja trwa w środowiskach produkcyjnych. Nginx-UI jest często instalowany na serwerach VPS przez administratorów szukających wygody zarządzania — narażone są szczególnie małe organizacje i deweloperzy, którzy mogą nie mieć aktywnego monitorowania. Aktualizacja jest dostępna i powinna być wdrożona natychmiast.
Źródło: BleepingComputer [EN] | Infosecurity Magazine [EN]
BleepingComputer opisuje atak supply chain na popularny pakiet wtyczek WordPress, który po kompromitacji zaczął dystrybuować malware do dziesiątek tysięcy stron korzystających z tych wtyczek. Atakujący uzyskali dostęp do repozytorium wtyczek i wstrzyknęli złośliwy kod do automatycznych aktualizacji — każda strona, która pobrała update, stała się narzędziem do infekowania odwiedzających. To kolejny przykład, że WordPress jest jednym z najczęściej atakowanych ekosystemów webowych — sam rdzeń jest bezpieczny, ale ogromna baza wtyczek third-party stwarza systematyczne ryzyko. Administratorzy powinni regularnie monitorować integralność plików i ograniczać instalowane wtyczki do absolutnego minimum.
Źródło: BleepingComputer [EN]
CyberDefence24 opisuje nowo ujawnione szczegóły wieloletniej operacji szpiegowskiej rosyjskich hakerów wymierzonej w ukraińskie instytucje rządowe, wojskowe i obronne. Operacja trwała co najmniej kilka lat i obejmowała kompromitację dziesiątek systemów informatycznych kluczowych dla ukraińskiej obrony. Ujawniona skala szpiegostwa — tysiące skompromitowanych kont i systemów — tłumaczy, dlaczego Rosja wydaje się posiadać tak dokładne informacje wywiadowcze o ukraińskiej infrastrukturze. Ujawnienie jest wynikiem wielomiesięcznej analizy forensycznej prowadzonej przez ukraińskie CERT i zachodnie agencje wywiadowcze.
Źródło: CyberDefence24 [PL]
CERT Orange Polska opisuje raport analizujący przychody Meta z reklam promujących oszustwa — szacowane na 16 miliardów dolarów w 2025 roku. Mechanizm jest prosty: algorytmy Meta optymalizują reklamy pod kątem zaangażowania i konwersji, a oszukańcze reklamy inwestycyjne i kryptowalutowe generują bardzo wysokie wskaźniki kliknięć — platforma nie ma ekonomicznego interesu w ich usuwaniu poza wymaganiami regulacyjnymi. CERT wskazuje, że presja regulacyjna (DSA w Europie) ma pewien wpływ, ale bez systemowych kar uzależnionych od skali szkód, Meta będzie wciąż „karmić się scamem". Artykuł jest ważnym kontekstem dla zrozumienia, dlaczego fałszywe reklamy inwestycyjne z wizerunkami polityków i celebrytów tak długo pozostają online.
Źródło: CERT Orange Polska [PL]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 16 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.
