🔐 Cyber Security Daily News | 12.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
JDownloader — oficjalna strona menedżera pobierania przez dwa dni podawała użytkownikom trojana RAT
W nocy z 6 na 7 maja 2026 nieznani sprawcy przejęli kontrolę nad stroną jdownloader.org, exploitując niezałataną lukę w systemie CMS — i podmienili oficjalne linki do instalatorów Windows i Linux na złośliwe pliki. JDownloader to jeden z najpopularniejszych darmowych menedżerów pobierania na świecie, używany przez miliony osób. Złośliwy instalator Windows wdrażał silnie zaciemnionego trojana zdalnego dostępu (RAT) napisanego w Pythonie, dającego atakującemu pełną kontrolę nad zainfekowanym komputerem; wersja Linux dodatkowo instalowała komponenty ELF z mechanizmem trwałości na poziomie roota. Atak nie dotknął aktualizacji in-app, wersji macOS, paczek Flatpak/Snap/Winget ani głównego pliku JAR. Zagrożone osoby to te, które pobrały "alternatywny instalator Windows" lub skrypt instalacyjny Linux w trakcie okna ataku i faktycznie go uruchomiły. Jeśli instalowałeś JDownloader w dniach 6–7 maja, twórcy rekomendują pełną reinstalację systemu i natychmiastową zmianę wszystkich haseł — komputer należy traktować jako skompromitowany.
Źródło: Instalki.pl [PL], Security Bez Tabu [PL]
Przełom w historii cyberbezpieczeństwa: AI Google opracowała pierwszy znany exploit zero-day bez udziału człowieka
Google Threat Intelligence Group (GTIG) opublikował raport potwierdzający, że ich system AI samodzielnie — bez bezpośredniego udziału człowieka — opracował działający exploit dla podatności zero-day w popularnym narzędziu administracji webowej. To historyczny moment: dotychczas AI pomagała w znajdowaniu luk, ale tworzenie gotowego exploitu wymagało pracy człowieka. Teraz cały łańcuch — od identyfikacji przez analizę po stworzenie funkcjonalnego kodu atakującego — wykonała maszyna. GTIG podkreśla, że odkrycie dramatycznie skraca czas potrzebny do ataku: to, co wcześniej zajmowało wyspecjalizowanym badaczom dni lub tygodnie, AI wykonuje w godzinach. Jednocześnie Anthropic ogłosiło, że Mythos — ich model ofensywnego bezpieczeństwa — znalazł 271 podatności w Firefoksie, w tym błędy sprzed 15 lat. Nowa era w cyberbezpieczeństwie: atakujący dysponują teraz prawdziwym "exploit autopilot".
Źródło: SecurityWeek [EN], The Hacker News [EN], CyberScoop [EN], CRN.pl [PL]
Checkmarx Jenkins Plugin skompromitowany przez TeamPCP — kolejne ogniwo łańcucha dostaw DevOps
The Register i SecurityWeek informują o kolejnym ataku grupy TeamPCP na infrastrukturę DevOps: tym razem ofiarą padł wtyczka Checkmarx AST do Jenkins — popularnego serwera automatyzacji używanego przez tysiące teamów inżynierskich. Skompromitowana wtyczka umożliwiała atakującym przechwytywanie poświadczeń dostępu do repozytoriów i pipeline'ów CI/CD. Checkmarx sam wcześniej był już celem TeamPCP (Bitwarden CLI, supply chain). Seria ataków tej grupy wyraźnie koncentruje się na narzędziach, które mają dostęp do "kluczy do królestwa" — kodu produkcyjnego, sekretów chmurowych i tokenów uwierzytelniających. Dla zespołów używających Jenkinsa z wtyczką Checkmarx AST: natychmiastowa aktualizacja i rotacja sekretów dostępowych są bezwzględnie konieczne.
Źródło: The Register [EN], SecurityWeek [EN]
🚨 INCYDENTY
Instructure potwierdza szczegóły włamania do Canvas — luka w portalu logowania umożliwiła defacement
Instructure opublikowało techniczne wyjaśnienie incydentu, w którym ShinyHunters dokonali defacementu setek portali logowania Canvas. Hakerzy eksploitowali podatność w portalu SSO umożliwiającą zapis do systemu szablonów bez uwierzytelnienia. Właściwa kradzież 3,65 TB danych edukacyjnych nastąpiła wcześniej, a defacement był demonstracją możliwości — i narzędziem szantażu wobec 8 809 instytucji. Instructure poinformowało, że SSRF w warstwie API pozwolił atakującym wyeksfiltrować dane studentów, pracowników i instytucji. Czas ultimatum (12 maja) minął — na razie nie pojawiły się masowe publikacje skradzionych danych, ale zagrożenie pozostaje realne.
Źródło: BleepingComputer [EN]
Best Western Hotels — potwierdzony wyciek danych klientów sieci hotelowej z ataku na aplikację webową
The Register potwierdza incydent bezpieczeństwa w globalnej sieci hotelowej Best Western: nieznani sprawcy przeprowadzili atak na aplikację webową grupy, uzyskując dostęp do danych osobowych klientów. Zakres naruszenia nie został w pełni ujawniony, lecz obejmuje dane z rezerwacji i profile klientów. Best Western proaktywnie powiadomiło poszkodowanych i współpracuje z organami ochrony danych. Hotele i usługi gościnności regularnie padają ofiarami ataków ze względu na ogromne bazy danych klientów i systemy płatności.
Źródło: The Register [EN]
SailPoint — firma bezpieczeństwa tożsamości ujawnia naruszenie repozytorium GitHub
SailPoint, jeden z czołowych dostawców rozwiązań do zarządzania tożsamościami i dostępami (IAM/IGA), poinformował o nieautoryzowanym dostępie do swojego repozytorium kodu na GitHubie. Incydent jest szczególnie niepokojący z powodu profilu firmy: SailPoint zarządza tożsamościami i uprawnieniami pracowników w wielu dużych korporacjach i rządach. Dostęp do kodu źródłowego narzędzi IAM może umożliwić znajdowanie podatności, które następnie pozwoliłyby na przejęcie kont w klientach. Firma wszczęła dochodzenie i powiadomiła odpowiednie organy.
Źródło: Security Affairs [EN]
💡 CIEKAWOSTKI
TrickMo — trojan bankowy na Androida ukrywa komunikację C2 w sieci TON blockchain
Badacze opisują ewolucję trojana bankowego TrickMo: najnowszy wariant ukrywa swoje serwery C2 (Command & Control) w sieci TON — zdecentralizowanej platformie blockchain stworzonej przez Telegram. Adresy IP serwerów są zakodowane w transakcjach blockchain, co czyni je praktycznie niemożliwymi do zablokowania przez tradycyjne metody (nie można "wyłączyć" blockchain). TrickMo celuje w aplikacje bankowe na Androida, nakłada na nie fałszywe nakładki i przechwytuje kody SMS. Użycie zdecentralizowanej infrastruktury przez malware to nowy trend, który znacząco utrudnia pracę obrońców — każdy blok w TON staje się potencjalnym "hostem" dla C2.
Źródło: BleepingComputer [EN], Infosecurity Magazine [EN]
Rząd Kostaryki oficjalnie dołącza do HaveIBeenPwned — trend rządowego monitorowania wycieków
Troy Hunt, twórca serwisu HaveIBeenPwned (HIBP), ogłosił, że rząd Kostaryki stał się kolejnym państwem, które oficjalnie korzysta z platformy do monitorowania wycieków danych swoich obywateli i pracowników. Kostaryka była jednym z pierwszych krajów zaatakowanych przez grupę Conti ransomware w 2022 roku — atak sparaliżował służby publiczne na tygodnie i stał się precedensem dla rządowych odpowiedzi na ransomware. Dołączenie do HIBP to element odbudowy zabezpieczeń. Trend jest wyraźny: Australia, Wielka Brytania, Stany Zjednoczone i teraz Kostaryka traktują monitoring wycieków jako element polityki bezpieczeństwa państwa.
Źródło: Troy Hunt / HaveIBeenPwned [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Phishing na fałszywe czesne — CERT Polska i Uniwersytet Warszawski ostrzegają studentów
CERT Polska we współpracy z Uniwersytetem Warszawskim wydały ostrzeżenie przed aktywną kampanią phishingową wymierzoną w polskich studentów. Cyberprzestępcy rozsyłają fałszywe wiadomości informujące o rzekomym nieopłaconym czesnym za semestr, z linkiem do strony podszywającej się pod uczelniane systemy płatności lub USOSweb. Ofiara, która poda dane karty lub zaloguje się przez fałszywą stronę, traci zarówno pieniądze, jak i dane dostępowe. Kampania trwa i obejmuje uczelnie w całej Polsce. Zasada: wszelkie informacje o czesnym weryfikuj wyłącznie przez officialne systemy uczelniane dostępne pod adresami podanymi w dokumentach rejestracyjnych.
Źródło: CyberDefence24 [PL]
Fałszywe repozytorium "OpenAI Privacy Filter" na GitHub — 1000 gwiazdek w 24 godziny, a środku infostealer
The Hacker News opisuje wyrafinowaną kampanię: na GitHubie pojawiło się repozytorium "openai-privacy-filter", reklamowane jako narzędzie blokujące wyciek danych do OpenAI podczas używania ChatGPT. W ciągu jednej doby zgromadzło ponad 1000 gwiazdek — w większości generowanych przez farmy botów — co sprawiło, że trafiło na listy "trending repositories". Osoby instalujące narzędzie nieświadomie instalowały infostealera kradnącego tokeny API, klucze SSH i dane z przeglądarek. Spryt atakujących polega na idealnym dobraniu tematu: strach przed prywatnością AI jest realny, więc narzędzie "chroniące" przed OpenAI brzmi atrakcyjnie dla technicznie świadomych użytkowników.
Źródło: The Hacker News [EN]
Infrastruktura Vercel nadużywana do hostowania phishingowych stron GenAI
Hackread opisuje nową technikę używaną przez cyberprzestępców: phishingowe strony, które podszywają się pod platformy GenAI (ChatGPT, Claude, Gemini), są hostowane na legalnej infrastrukturze Vercel — dzięki czemu korzystają z zaufanego certyfikatu SSL i trudno je zablokować przez reputacyjne filtry. Vercel, popularna platforma deploymentu aplikacji webowych używana przez setki tysięcy deweloperów, pozwala na szybkie wdrożenie stron z niestandardowymi domenami. Phishingowe strony zbierają dane logowania do prawdziwych platform AI lub dane kart płatniczych. Hostowanie malware na zaufanej infrastrukturze (Vercel, GitHub Pages, Cloudflare Workers) to rosnący trend.
Źródło: Hackread [EN]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Afera Pegasusa — CyberDefence24 pyta: dwa i pół roku po wyborach, nic się nie zmieniło
W ślad za raportem Panoptykonu CyberDefence24 publikuje własną analizę, zwracając uwagę na kluczowy fakt: pomimo obietnic wyborczych, parlamentarnych przesłuchań i europejskich zobowiązań Polska nadal nie ma żadnych przepisów regulujących używanie spyware przez służby specjalne. Komisja śledcza ds. Pegasusa wciąż nie wydała raportu końcowego. Żadna z osób decyzyjnych przy zakupie lub stosowaniu Pegasusa nie poniosła odpowiedzialności. System nadzoru operacyjnego pozostaje tak samo wadliwy jak za poprzedniego rządu. Komentatorzy wskazują, że niezależnie od opcji politycznej przy władzy — służby specjalne zawsze preferują narzędzia inwigilacji bez kontroli zewnętrznej.
Źródło: CyberDefence24 [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 11 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.