Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
KrebsOnSecurity ujawnia skandal: do ubiegłego weekendu na publicznym repozytorium GitHub o nazwie "Private-CISA" znajdowały się klucze dostępowe do wielu uprzywilejowanych kont AWS GovCloud należących do Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury USA (CISA) — tej samej agencji, która ostrzega innych przed wyciekami danych. Repozytorium zawierało pliki z tytułami "AWS-Workspace-Firefox-Passwords.csv", "Important AWS Tokens.txt", "kube-config.txt" i inne — dosłownie podręcznik dla atakującego, jak przejąć wewnętrzną infrastrukturę CISA. Eksperci ds. bezpieczeństwa określają to mianem "jednego z najbardziej rażących wycieków rządowych w historii". Repozytorium zostało usunięte po interwencji firmy GitGuardian, która przez kilka dni bezskutecznie próbowała dotrzeć do właściciela konta. CISA nie wydała dotąd oficjalnego oświadczenia.
Źródło: Krebs on Security [EN]
Microsoft ogłosił historyczną zmianę: nowe konta Microsoft będą domyślnie konfigurowane bez hasła (passwordless), z passkeys jako podstawową metodą uwierzytelniania, a jednorazowe kody SMS są stopniowo wycofywane jako "zbyt niebezpieczna" forma 2FA. Zmiana wynika z wieloletnich dowodów, że SMS-y są podatne na ataki SIM Swap, przechwycenie przez IMSI Catchery i phishing w czasie rzeczywistym (AiTM). Microsoft szacuje, że już ponad miliard kont korzysta z uwierzytelniania bez hasła. Dla istniejących użytkowników SMS pozostaje opcją, ale nowe konta nie będą już jej oferować jako domyślnej ścieżki. To przełomowy krok dla bezpieczeństwa kont cyfrowych — passkeys są odporne na phishing i znacznie trudniejsze do przejęcia.
Źródło: Instalki.pl [PL], Dobreprogramy [PL]
Microsoft Security opublikował szczegółową analizę ataku grupy Storm-2949, która zamieniła skradzioną tożsamość jednego pracownika w pełne przejęcie infrastruktury chmurowej ofiary. Schemat ataku: phishing na "MFA fatigue" → skradziony token OAuth → rejestracja dodatkowego urządzenia → lateral movement przez Entra ID → przejęcie wszystkich zasobów Azure. Raport podkreśla kluczową lekcję: w modelu Zero Trust każda tożsamość jest celem, a nawet "niepozorna" aplikacja deweloperska z permisją do odczytu poczty może stać się wektorem ataku na cały tenant chmurowy. Zalecenia obejmują Conditional Access Policy, ograniczenie uprawnień OAuth i monitoring rejestru urządzeń.
Źródło: Microsoft Security Blog [EN]
Według doniesień CNN i potwierdzenia CyberDefence24 oraz CRN.pl, amerykańscy urzędnicy podejrzewają Iran o przeprowadzenie cyberataku na systemy automatycznego pomiaru paliwa (ATG — Automatic Tank Gauging) na stacjach benzynowych w USA. Hakerzy manipulowali odczytami sensorów mierzących poziomy paliwa w zbiornikach, fałszując dane przekazywane do systemów zarządzania stacją. Choć atak nie spowodował eksplozji ani wycieku, fałszywe odczyty mogą zakłócić logistykę dostaw paliwa i stworzyć ryzyko środowiskowe. ATG-i są podłączone do internetu w tysiącach stacji — i choć znane luki w tych systemach były dokumentowane od lat, nadal są powszechnie niezałatane. To kolejna irańska operacja wymierzona w amerykańską infrastrukturę krytyczną po atakach Handala.
Źródło: CyberDefence24 [PL], CRN.pl [PL]
Po tym, jak kod źródłowy robaka npm Shai Hulud wyciekł publicznie, The Register i Security Affairs odnotowują pojawienie się pierwszych "copycat" kampanii: inne grupy przestępcze zmodyfikowały i redystrybuują robaka, atakując kolejne popularne pakiety npm. Oryginalna kampania Shai Hulud w 2025 roku skompromitowała ponad 500 paczek i skradła 8,5 mln dolarów; kopiści pracują z gotowym kodem i tylko podmieniają adresy eksfiltracji danych. To klasyczny efekt domina: po upublicznieniu kodu złośliwego oprogramowania ekosystem przestępczy natychmiast go adoptuje i mutuje. Deweloperzy npm powinni wzmocnić weryfikację integralności zależności.
Źródło: The Register [EN], Security Affairs [EN]
SecurityWeek i Bitdefender opisują rosnącą liczbę ataków wykorzystujących MSHTA (Microsoft HTML Application Host) — narzędzie wbudowane w Windows od 1996 roku, które pozwala uruchamiać pliki HTA zawierające skrypty. Atakujący kierują ofiary (głównie przez e-mail lub dokumenty Word) do pliku HTA hostowanego zdalnie — MSHTA automatycznie go pobiera i wykonuje skrypt VBScript lub JavaScript, omijając przy tym wiele nowoczesnych systemów wykrywania, które skupiają się na exe i PowerShell. Efektem jest "bezplikowe" uruchamianie malware bezpośrednio w pamięci. Microsoft od lat oznacza MSHTA jako narzędzie "do usunięcia w przyszłości" — ale wciąż jest obecne na wszystkich wersjach Windows.
Źródło: SecurityWeek [EN], Bitdefender [EN]
Sekurak opisuje odkrycie badacza (tego samego, który wcześniej ujawnił lukę w odkurzaczach DJI): serwer MQTT obsługujący 1,1 miliona wideonianiek był dostępny bez uwierzytelnienia z całego internetu, a komunikaty wszystkich kamer były widoczne publicznie. Każdy, kto wiedział jak się połączyć, mógł odczytać URL-e do zdjęć i nagrań z każdej niańki na świecie — w tym polskich. Zdjęcia przechowywane były na serwerach Alibaba Cloud i były dosłownie dostępne jako link. Badacz Sammy Azdoufal zgłosił blisko 10 podatności. Schemat ataku jest banalny: nieprawidłowa konfiguracja serwera kolejkowego ekspozycja na świat. Dla rodziców: zawsze sprawdzajcie, czy wasz monitor dla dziecka wymaga uwierzytelnienia i czy ruch jest szyfrowany.
Źródło: Sekurak [PL]
Sekurak opublikował szczegółową analizę podatności YellowKey, która pozwala ominąć szyfrowanie BitLocker przez fizyczny dostęp do komputera za pomocą zwykłego pendrive'a. Atakujący umieszcza na USB specjalnie spreparowane pliki FsTx, uruchamia komputer z WinRE (środowisko odzyskiwania Windows), przytrzymuje Ctrl i uruchamia shell z dostępem do plików chronionych dysków. Luka jest szczególnie groźna w scenariuszach kradzieży laptopa lub nieuprawnionego dostępu do stanowiska pracy: BitLocker z samym TPM (bez PINu) nie zapewnia ochrony. Zalecenie: zawsze konfiguruj BitLocker z wymaganym PINem przy starcie — TPM-only to za mało.
Źródło: Sekurak [PL]
The Hacker News opisuje nową kampanię: cztery fałszywe pakiety npm zostały opublikowane pod nazwami naśladującymi popularne biblioteki JavaScript. Paczki instalują ukrytego backdoora umożliwiającego zdalne wykonanie kodu na maszynie dewelopera. Kampania jest kontynuacją aktywności grup TeamPCP i Shai Hulud — ekosystem npm pozostaje aktywnym polem ataku supply chain. Deweloperzy powinni stosować weryfikację paczek przed instalacją (sprawdzanie autora, dat publikacji, liczby pobrań) i korzystać z narzędzi takich jak Socket.dev do automatycznej detekcji podejrzanych zależności.
Źródło: The Hacker News [EN]
SecurityWeek opisuje niecodzienny ruch: marketplace B1ack's Stash — platforma sprzedaży skradzionych danych kart płatniczych — opublikował za darmo dane 4,6 miliona kart jako "próbkę" przyciągającą nowych klientów do płatnej oferty. To cyniczny, lecz skuteczny marketing: "premium" carding marketplace daje się poznać przez duże, bezpłatne upublicznienie danych, a następnie liczy na subskrypcje od przestępców chcących dostępu do milionów kolejnych kart. Dla posiadaczy kart: sprawdź swoje transakcje i rozważ zastrzeżenie karty, jeśli masz obawy. Weryfikacja na HaveIBeenPwned nie obejmuje wszystkich takich wycieków.
Źródło: SecurityWeek [EN]
CyberDefence24 informuje o kolejnej fali aresztowań przeprowadzonej przez ukraińskie służby kontrwywiadowcze w koordynacji z SBU: zatrzymano kilkadziesiąt osób podejrzanych o pracę dla rosyjskiej Federalnej Służby Bezpieczeństwa. Sprawcy — w tym osoby w mundurach wojskowych i pracownicy instytucji cywilnych — mieli dostarczać FSB dane wywiadowcze dotyczące rozmieszczenia wojsk, planów obronnych i danych osobowych żołnierzy. Rosja stosuje coraz szerszą sieć "jednorazowych" agentów rekrutowanych przez internet za pieniądze lub szantaż — o czym pisaliśmy w kontekście raportu ABW dla Polski. Aresztowania pokazują, że ukraiński kontrwywiad aktywnie monitoruje te sieci.
Źródło: CyberDefence24 [PL]
Trend Micro opisuje nową kampanię złośliwego oprogramowania Banana RAT, wyrafinowanego backdoora atakującego firmy z sektora paliw i energetyki w Azji Południowo-Wschodniej. Malware stosuje wielowarstwowe szyfrowanie komunikacji, podszywa się pod legalne procesy systemowe i korzysta z techniki DLL hijacking do trwałej obecności. Banana RAT daje atakującym pełną kontrolę zdalną: kradzież dokumentów, keylogging, dostęp do kamer. Atrybucja nie jest pewna, lecz techniki i cele wskazują na grupę powiązaną z chińskim wywiadem przemysłowym skupionym na pozyskiwaniu strategicznych danych energetycznych z regionu Azji-Pacyfiku.
Źródło: Trend Micro [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 19 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.
