Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
CRN informuje, że nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która weszła w życie 3 kwietnia 2026, może objąć nawet 38 tysięcy podmiotów — z czego ok. 27 tys. to jednostki publiczne. Podmioty „kluczowe" (energetyka, transport, bankowość, ochrona zdrowia, wodociągi i inne) i „ważne" mają rok na dostosowanie się do nowych wymogów technicznych i organizacyjnych. Firmy, które samodzielnie nie zostały wpisane do Wykazu KSC przez ministra cyfryzacji, będą mogły złożyć wniosek o wpis od 7 maja 2026. Za naruszenie przepisów grożą kary do 10 mln euro dla podmiotów kluczowych i 7 mln euro dla ważnych — z osobistą odpowiedzialnością menedżerów zarządu. To największe rozszerzenie regulacji cyberbezpieczeństwa w historii Polski.
Źródło: CRN [PL]
CISA opublikowała oficjalny alert dotyczący kompromitacji pakietu npm axios — szeroko stosowanej biblioteki JavaScript do obsługi żądań HTTP — przez grupę powiązaną z Koreą Północną. Złośliwy kod wstrzyknięty do npm axios mógł dotrzeć do niezliczonych projektów i środowisk CI/CD, które automatycznie pobierają zależności. Atak jest powiązany z wcześniejszą kompromitacją certyfikatów macOS w OpenAI. CISA zaleca natychmiastową weryfikację wersji axios używanych w projektach i skanowanie środowisk CI/CD pod kątem wskaźników kompromitacji opublikowanych w alercie.
Źródło: CISA [EN]
SecurityWeek, BleepingComputer, The Register i Security Affairs potwierdzają, że Tyler Buchanan — jeden z kluczowych członków grupy Scattered Spider, obywatel brytyjski — przyznał się do winy przed sądem w USA w sprawie kradzieży kryptowalut przez SIM swapping i socjotechnikę. Scattered Spider zasłynęła atakami na MGM Resorts, Caesars Entertainment i dziesiątki innych dużych firm. Buchanan był jednym z czołowych operacyjnych grupy i miał koordynować ataki obejmujące przejęcia kont, wymuszenia i kradzieże o wartości dziesiątek milionów dolarów. Sprawa jest kolejnym sukcesem FBI i DOJ w rozbijaniu zachodnich cyberprzestępczych grup, które do tej pory czuły się bezkarnie.
Źródło: SecurityWeek [EN] | BleepingComputer [EN] | The Register [EN] | Security Affairs [EN]
HelpNetSecurity opisuje nową platformę phishingową ATHR, dostępną na cyberprzestępczych forach za 4000 dolarów plus 10% zysku. ATHR wysyła do ofiar e-maile podszywające się pod Google, Microsoft lub giełdy kryptowalutowe, zawierające tylko numer telefonu do „bezpieczeństwa" — bez podejrzanych linków. Gdy ofiara dzwoni, ATHR automatycznie przełącza ją na agenta AI lub żywego operatora, który prowadzi rozmowę według skryptu i wyłudza kody weryfikacyjne MFA. Platforma jest zarządzana z jednego panelu przeglądarki, nie wymaga wielu pracowników i dynamicznie dostosowuje przynętę jeśli ataki są nieskuteczne. To przełom w automatyzacji vishingu — w przeszłości wymagał on całych zespołów call center.
Źródło: HelpNetSecurity [EN]
CyberDefence24 i Niebezpiecznik informują o trzecim z kolei włamaniu do systemów Nowej Nadziei — partii Sławomira Mentzena. Tym razem cyberprzestępca opublikował 500 rekordów zawierających imię i nazwisko, PESEL, adres zamieszkania oraz numery telefonów — w tym danych osób nieletnich powiązanych z sekcją młodzieżową partii. W paczce znalazły się też treści SMS-ów, e-maili i dokumentów wewnętrznych. Rzecznik partii twierdzi, że chodzi o „stary system sekcji młodzieżowej w jednym regionie" — ale Niebezpiecznik zwraca uwagę, że poprzednie dwa włamania (marzec i sierpień 2025) pozostały bez publicznej odpowiedzi i prawdopodobnie bez realnych działań naprawczych. PESEL w połączeniu z adresem zamieszkania to komplet wystarczający do zaciągnięcia pożyczki.
Źródło: CyberDefence24 [PL] | Niebezpiecznik [PL]
BleepingComputer opisuje incydent w Seiko USA — hakerzy zdewastowali oficjalną stronę producenta zegarków, umieszczając na niej przekaz o rzekomej kradzieży danych klientów. Grupy hakerskie używają defacement stron www zarówno jako demonstracji zdolności, jak i narzędzia nacisku wobec firm przed opublikowaniem lub sprzedażą skradzionych danych. Seiko wcześniej padało ofiarą ataków — w 2023 roku grupa BlackCat/ALPHV opublikowała dane z japońskiego oddziału firmy. Wciąż trwa weryfikacja, czy twierdzenia o kradzieży danych są prawdziwe.
Źródło: BleepingComputer [EN]
CyberDefence24 informuje o kolejnym incydencie w polskim środowisku akademickim: jeden z polskich uniwersytetów przypadkowo opublikował w swojej witrynie internetowej dane osobowe wykładowców. Choć rodzaj i zakres danych są wyjaśniany, incydent nastąpił w cieniu trwającego od tygodni kryzysu po ataku ransomware na Wydział Zarządzania Uniwersytetu Warszawskiego. Przypadkowe ujawnienia danych (przez błędną konfigurację dostępu do pliku lub systemu CMS) są statystycznie równie częste co włamania hakerskie — ale rzadziej trafiają do nagłówków. Uczelnie jako instytucje publiczne przetwarzają szczególnie dużo wrażliwych danych osobowych i podlegają RODO z pełnymi konsekwencjami za naruszenia.
Źródło: CyberDefence24 [PL]
CERT Orange Polska i Telepolis opisują dokumentowany przypadek, w którym użytkownik poprosił ChatGPT o pomoc przy odzyskaniu niedostępnego pliku w systemie Linux. Model zaproponował sekwencję komend, które — wykonane bez głębszego zrozumienia — doprowadziły do usunięcia kluczowych plików systemowych i konieczności reinstalacji systemu operacyjnego. To ważna lekcja: modele AI są świetne w generowaniu plausybilnie brzmiących komend, ale nie rozumieją kontekstu konkretnej instalacji systemu. Nigdy nie kopiuj i nie wykonuj komend systemowych zaproponowanych przez AI bez wcześniejszego sprawdzenia, co każda z nich robi — szczególnie gdy zawierają rm, chmod, dd lub modyfikacje /etc/.
Źródło: CERT Orange Polska [PL] | Telepolis [PL]
Dobreprogramy opisują nową kampanię phishingową, przed którą ostrzega CERT Polska: fałszywe powiadomienia podszywające się pod Krajowy System e-Faktur (KSeF) i wysyłane rzekomo z Ministerstwa Finansów. Wiadomości informują o rzekomych problemach z fakturami lub konieczności pilnej rejestracji — z linkiem do złośliwej strony zbierającej dane logowania lub instalującej malware. KSeF stał się obowiązkowy dla dużych firm i jest wdrażany etapami dla kolejnych grup — co sprawia, że duża część przedsiębiorców jest na niego podatna, bo tematy KSeF-owe brzmią wiarygodnie i pilnie. Wszelkie komunikaty dotyczące KSeF należy weryfikować wyłącznie przez oficjalny portal podatki.gov.pl.
Źródło: Dobreprogramy [PL]
CERT Polska (moje.cert.pl) ostrzega przed aktywną kampanią SMS-ową, w której atakujący podszywają się pod firmę kurierską DPD i informują o „nieudanej próbie dostarczenia paczki", prosząc o ponowne umówienie terminu przez link. Strona docelowa imituje oficjalny portal DPD i prosi o dane kontaktowe oraz dane karty płatniczej jako „opłatę za zmianę terminu". Schemat jest wyjątkowo skuteczny, bo atakuje w momencie, gdy ofiara realnie może oczekiwać paczki z zagranicy lub polskiego sklepu. Podejrzane SMS-y należy przekazywać na numer 8080 — CERT Polska analizuje je i blokuje złośliwe domeny.
Źródło: CERT Polska (moje.cert.pl) [PL]
BleepingComputer opisuje rosnącą skalę ataków na firmy, w których przestępcy podszywają się pod wewnętrzny helpdesk IT przez Microsoft Teams i nakłaniają pracowników do instalacji „narzędzi do zdalnego wsparcia" — de facto oprogramowania do zdalnego dostępu. Atakujący korzystają z faktu, że wiele organizacji domyślnie zezwala na wiadomości Teams od użytkowników zewnętrznych. Technika jest powiązana z dawnymi partnerami Black Basta. Administratorzy powinni ograniczyć możliwość kontaktowania się z pracownikami przez Teams przez użytkowników spoza domeny organizacji, lub przynajmniej włączyć widoczne ostrzeżenie o wiadomościach zewnętrznych.
Źródło: BleepingComputer [EN]
HackRead opisuje odkrycie serii złośliwych rozszerzeń do przeglądarek Chrome i Edge, które podszywają się pod narzędzia do pobierania filmów z TikToka. Po instalacji rozszerzenia zbierają historię przeglądania, cookies sesji i dane formularzy — a skradzione dane przesyłają do serwerów w Chinach i Europie Wschodniej. Rozszerzenia były dostępne w oficjalnym Chrome Web Store i Edge Add-ons Store przed wykryciem. To kolejny przykład, że oficjalne sklepy z rozszerzeniami wymagają dodatkowej weryfikacji ze strony użytkownika — liczba pobrań i recenzje mogą być sfałszowane, a rozszerzenia po zatwierdzeniu przez sklep mogą ulec zmianie przez aktualizację.
Źródło: HackRead [EN]
Infosecurity24 i Telepolis opisują rosyjską nowelizację ustawy „o granicy państwowej", która formalnie nadała służbom granicznym prawo do żądania dostępu do urządzeń elektronicznych podróżnych. Odmowa odblokowania telefonu lub laptopa grozi grzywną lub 15 dniami aresztu. Telepolis wskazuje, że polskie media opisywały wcześniej doniesienia o rzekomym norweskim ataku GPS — który okazał się nieprawdziwy, podkreślając jak łatwo fałszywe narracje techniczne rozprzestrzeniają się w mediach. Nowe rosyjskie przepisy o inwigilacji granicznej wpisują się w systematyczne domykanie systemu nadzoru, który obejmuje już SORM (podsłuch telekomunikacyjny), blokowanie VPN i teraz rewizje urządzeń elektronicznych.
Źródło: Infosecurity24 [PL] | Telepolis [PL]
CyberDefence24 opisuje ujawnione przez Ukrainę szczegóły dotyczące skali zastosowania systemów AI do rozpoznawania i identyfikacji rosyjskich sił na froncie. Ukraińskie narzędzia AI analizują m.in. publiczne profile w mediach społecznościowych, zdjęcia satelitarne, nagrania dronów i przechwycone komunikaty, by identyfikować jednostki wojskowe, sprzęt i lokalizacje. Skala tego zastosowania AI w wywiadzie wojskowym jest bezprecedensowa i zmienia charakter współczesnego konfliktu zbrojnego. Ujawnienie tych zdolności ma też wymiar psychologiczny wobec rosyjskich żołnierzy — informując ich, że każde zdjęcie wrzucone na VK czy Telegram może zostać wykorzystane do ich identyfikacji.
Źródło: CyberDefence24 [PL]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 20 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.
