Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
Niebezpiecznik publikuje szczegółowe śledztwo wyjaśniające mechanizm włamania na platformę Vercel — o którym informowaliśmy wcześniej jako o potwierdzonym naruszeniu. Okazuje się, że punkt wejścia był absurdalnie przyziemny: pracownik firmy Contex.ai (dostawca SaaS dla Vercel) pobrał cheaty do gry Roblox zainfekowane infostealerem Lumma. To dało atakującym dostęp do infrastruktury Contex.ai i tokenów OAuth do kont ich klientów — w tym Vercel. Drugi pracownik po stronie Vercel kliknął w podejrzany link i dobrowolnie autoryzował OAuth, co pozwoliło atakującym wejść głębiej w systemy platformy. Sprawa jest doskonałą ilustracją, dlaczego zasada minimalnych uprawnień przy OAuth i dokładna weryfikacja dostawców SaaS są absolutnie kluczowe — bo twoje bezpieczeństwo zależy też od bezpieczeństwa programistów, których narzędzia używasz.
Źródło: Niebezpiecznik [PL] | CyberScoop [EN]
Security Affairs ujawnia, że Agencja Bezpieczeństwa Narodowego USA (NSA) korzysta z modelu Claude Mythos firmy Anthropic w swoich operacjach wywiadowczych pomimo trwającego dochodzenia w sprawie kompromitacji biblioteki axios przez Koreę Północną — ataku, który dotknął sam Anthropic. NSA uznała, że korzyści operacyjne z używania Mythos przewyższają ryzyko supply chain. Ta decyzja wywołała dyskusję w środowisku bezpieczeństwa: jeśli nawet agencja wywiadowcza odpowiedzialna za bezpieczeństwo Stanów Zjednoczonych akceptuje tego rodzaju ryzyko, to wyraźnie świadczy o tym, jak dużą przewagę operacyjną daje ten model w wykrywaniu podatności i analizie zagrożeń. CyberScoop zauważa, że to fundamentalne pytanie o model zaufania: czy można ufać narzędziu AI, które mogło zostać dotknięte atakiem na łańcuch dostaw?
Źródło: Security Affairs [EN] | CyberScoop [EN]
SecurityWeek informuje, że CISA rozszerzyła katalog Known Exploited Vulnerabilities (KEV) o nowe aktywnie eksploatowane luki w produktach Cisco Catalyst, Kentico Xperience (popularny CMS), PaperCut, Synacor Zimbra i JetBrains TeamCity. Szczególnie niepokojąca jest podatność w Kentico Xperience — systemie CMS, który jest szeroko stosowany w instytucjach rządowych, mediach i sektorze e-commerce w Europie. TeamCity jest z kolei kluczowym narzędziem CI/CD — jego podatność może prowadzić do kompromitacji pipeline'ów dostarczania oprogramowania. Administratorzy korzystający z tych produktów powinni natychmiast wdrożyć dostępne łatki lub zastosować tymczasowe obejścia rekomendowane przez CISA.
Źródło: SecurityWeek [EN]
Security Affairs i Infosecurity Magazine potwierdzają, że za kradzieżą 290 milionów dolarów z platformy KelpDAO — zdecentralizowanego protokołu finansowego opartego na Ethereum — stoi północnokoreańska grupa Lazarus APT. To jedna z największych kradzieży kryptowalutowych w 2026 roku i kolejny akt w wieloletniej serii ataków Lazarusa na ekosystem DeFi, mający na celu finansowanie programu zbrojeniowego KRLD. Atakujący użyli kombinacji phishingu, exploitacji smart kontraktów i prania pieniędzy przez sieci miksujące transakcje. ONZ szacuje, że Lazarus ukradł ponad 3 miliardy dolarów w kryptowalutach od 2017 roku — finansując tym samym północnokoreański program rakietowy i nuklearny.
Źródło: Security Affairs [EN] | Infosecurity Magazine [EN]
Dobreprogramy opisują narastający zakres danych opublikowanych przez grupę Interlock po ataku ransomware na Wydział Zarządzania Uniwersytetu Warszawskiego. Na stronach grupy w darknecie pojawiło się łącznie ponad 200 tysięcy plików. Wśród ujawnionych materiałów znajdują się nie tylko dane osobowe pracowników i studentów, ale też dokumenty wewnętrzne, umowy i korespondencja uczelni. Skala wycieku rośnie — a UW wciąż nie wydał wyczerpującego komunikatu tłumaczącego zakres naruszenia i plan działania wobec osób, których dane zostały opublikowane. Osoby powiązane z UW powinny zachować wzmożoną czujność wobec wszelkich kontaktów i wiadomości, które mogą się powołać na dane z wycieku.
Źródło: Dobreprogramy [PL]
Security Affairs opisuje cyberatak na witrynę ANTS (Agence Nationale des Titres Sécurisés) — francuskiej agencji zarządzającej bezpiecznymi dokumentami tożsamości, w tym paszportami i prawami jazdy. System obsługuje miliony Francuzów składających wnioski o dokumenty tożsamości. Trwa weryfikacja, czy doszło do wycieku danych osobowych wnioskodawców. Atak na ANTS jest szczególnie wrażliwy, bo zgromadzone tam dane zawierają informacje biometryczne, skany dokumentów i adresy zamieszkania — dane, których skradzienie ma konsekwencje znacznie poważniejsze niż typowy wyciek hasła.
Źródło: Security Affairs [EN]
The Register opisuje nową falę ataków ClickFix na macOS, które zamiast tradycyjnych skryptów bash lub programów wykonywalnych dostarczają złośliwy kod napisany w AppleScript — natywnym języku automatyzacji macOS. AppleScript jest wyjątkowo groźnym wektorem, bo ma głęboki dostęp do aplikacji systemowych (Keychain, Safari, Mail) i jest powszechnie używany przez legalne automatyzacje, co utrudnia jego wykrycie. Nowe warianty infostealerów napisanych w AppleScript kradną hasła z Keychain, tokeny z przeglądarek i klucze SSH. Apple wprowadziło ostatnio ostrzeżenia przy wklejaniu komend do terminala — ale AppleScript może być uruchomiony bez terminala.
Źródło: The Register [EN]
Trend Micro opisuje aktywną kampanię grupy Void Dokkaebi powiązanej z Koreą Północną, w której hakerzy podszywają się pod rekruterów technicznych i zapraszają programistów na „rozmowy kwalifikacyjne online". W trakcie procesu rekrutacji proszą kandydatów o pobranie i uruchomienie „testu technicznego" z GitHuba lub innego repozytorium — który jest faktycznie złośliwym pakietem instalującym malware. Kampania dotykała szczególnie deweloperów blockchain, DeFi i AI, bo ich konta i dostępy mają szczególną wartość dla państwa, które systematycznie finansuje swój program zbrojeniowy kradzieżami kryptowalut. Nigdy nie uruchamiaj kodu pobranego w ramach procesu rekrutacyjnego bez wcześniejszej dokładnej weryfikacji w środowisku izolowanym (sandbox lub VM).
Źródło: Trend Micro [EN]
Security Affairs opisuje 24-godzinny atak DDoS na platformę Bluesky — alternatywną sieć społecznościową, która zyskała popularność jako open-source'owa alternatywa dla X/Twittera. Proirańska grupa hacktywistyczna przypisała sobie odpowiedzialność za atak, uzasadniając go polityką Bluesky w zakresie moderacji treści. Bluesky, choć mniejsze od głównych platform, jest coraz bardziej popularne wśród dziennikarzy, badaczy i środowisk opozycyjnych z krajów o ograniczonej wolności słowa — co czyni je atrakcyjnym celem dla grup działających w interesie autorytarnych reżimów. Atak DDoS jako narzędzie cenzurowania alternatywnych platform jest coraz częstszym trendem.
Źródło: Security Affairs [EN]
CERT Polska (moje.cert.pl) ostrzega przed nasiloną kampanią phishingową, która zbiegła się z końcem okresu składania zeznań podatkowych. Oszuści rozsyłają e-maile podszywające się pod Krajową Administrację Skarbową, informujące o rzekomym zwrocie podatku — z linkiem do fałszywej strony imitującej Platformę Usług Elektronicznych Skarbowo-Celnych (e-Urząd Skarbowy). Na fałszywej stronie zbierany jest PESEL, dane osobowe i dane karty płatniczej. Schemat jest szczególnie skuteczny teraz, bo sezon rozliczeniowy to jedyny czas w roku, gdy komunikat „masz zwrot podatku" brzmi całkowicie naturalnie i wiarygodnie. Wszelkie informacje o zwrocie należy weryfikować wyłącznie przez samodzielne wejście na podatki.gov.pl.
Źródło: CERT Polska (moje.cert.pl) [PL]
Malwarebytes opisuje nową technikę, w której atakujący wyzwalają prawdziwe, autentyczne powiadomienia Apple — identyczne z tymi, które Apple wysyła przy próbach logowania lub zmianie danych konta — i używają ich jako pretekstu do połączenia telefonicznego „wsparcia Apple". Ofiara widzi prawdziwy e-mail z domeny apple.com, a następnie kontaktuje się z rzekomą linią wsparcia z numeru podanego w towarzyszących materiałach. „Konsultant" Apple wyłudza hasło, kody weryfikacyjne lub nakłania do instalacji oprogramowania zdalnego dostępu. Technika jest ewolucją wcześniej opisywanego schematu abuzowania alertów Apple ID — i jest wyjątkowo trudna do wykrycia, bo e-mail faktycznie pochodzi od Apple.
Źródło: Malwarebytes [EN]
BleepingComputer i SecurityBezTabu opisują odkrycie serii fałszywych aplikacji portfeli kryptowalutowych w chińskim App Store Apple, które po instalacji kradły frazy seed i opróżniały konta kryptowalutowe użytkowników. Aplikacje wyglądały jak legalne odpowiedniki znanych portfeli (Ledger, Trust Wallet, MetaMask) i były dostępne w sklepie przez kilka tygodni przed usunięciem. To szczególnie niepokojące, bo App Store jest powszechnie uważany za bezpieczniejszy od Android — a wiele osób instaluje portfele przez sklep bez weryfikacji autentyczności dewelopera. Fraza seed (12–24 słowa) powinna być wprowadzana wyłącznie w aplikacji oryginalnie zainstalowanej na urządzeniu — nigdy w nowej instalacji ze sklepu.
Źródło: BleepingComputer [EN] | SecurityBezTabu [PL]
CyberDefence24 informuje, że ukraińskie organy ścigania rozbiły rozbudowaną sieć fałszywych kont w mediach społecznościowych zarządzaną przez zatrzymanego mężczyznę. Farma botów liczyła tysiące kont, które były sprzedawane podmiotom powiązanym z rosyjskimi strukturami wywiadowczymi i używane do manipulowania nastrojami społecznymi i destabilizowania sytuacji politycznej na Ukrainie. Śledczy ujawnili pełen mechanizm działania: od tworzenia i „dojrzewania" kont przez nadawanie im historii aktywności, aż po skoordynowane amplifikowanie narracji pożądanych przez Kreml. To kolejne zatrzymanie w ramach ukraińskiej kampanii przeciwko cybernetycznym operacjom wpływu prowadzonym na zlecenie Rosji.
Źródło: CyberDefence24 [PL]
CyberDefence24 publikuje szczegółową analizę sylwetki Andrieja Manojły — rosyjskiego profesora nauk politycznych i rzeczywistego architekta wielu operacji dezinformacyjnych prowadzonych przez rosyjskie służby. Manojło od lat wykłada na Moskiewskim Państwowym Uniwersytecie i jest kluczową postacią w akademickim uzasadnieniu i operacjonalizacji rosyjskich operacji wpływu — od teorii „zarządzania konfliktami informacyjnymi" do praktycznych podręczników operacji psychologicznych. Artykuł wskazuje, że rozumienie osobowości i instytucji stojących za rosyjską dezinformacją jest kluczowe dla jej skutecznego zwalczania — bo dezinformacja to nie tylko spontaniczny chaos, ale starannie zaplanowane działania z konkretnymi autorami intelektualnymi.
Źródło: CyberDefence24 [PL]
The Register opisuje irańskie oświadczenia, w których Teheran twierdzi, że Stany Zjednoczone przez lata utrzymywały ukryte backdoory w krytycznej infrastrukturze Iranu — co miało umożliwiać szpiegostwo i sabotaż. Irańskie władze powołują się na rzekome ustalenia własnych służb wywiadowczych i wiążą je z serią ostatnich cyberincydentów w Iranie. Twierdzenia te są trudne do niezależnej weryfikacji i wpisują się w retorykę polityczną Teheranu po serii sankcji i cyberataków przypisywanych USA i Izraelowi (m.in. Stuxnet). Niezależnie od weryfikowalności tych twierdzeń, Iran regularnie używa narracji o zachodnich backdoorach jako uzasadnienia dla własnych operacji cybernetycznych i zaostrzania kontroli nad własną infrastrukturą IT.
Źródło: The Register [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 21 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.
