🔐 Cyber Security Daily News | 21.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
GitHub potwierdza włamanie do ~3800 wewnętrznych repozytoriów — wektor: zainfekowane rozszerzenie VS Code
GitHub ogłosił aktywny incydent bezpieczeństwa: jeden z pracowników platformy zainstalował zainfekowane rozszerzenie do Visual Studio Code, co dało atakującym dostęp do środowiska wewnętrznego i umożliwiło przejrzenie niemal 3800 wewnętrznych repozytoriów. W skompromitowanych repozytoriach mogły znajdować się klucze, tokeny, wewnętrzna dokumentacja i kod infrastrukturalny — informacje niezwykle cenne dla atakujących planujących dalsze uderzenia. To poważna eskalacja fali ataków supply chain na narzędzia deweloperskie: po JDownloaderze, DAEMON Tools, VS Code Open VSX i npm-ach atakujący teraz siedzą w środku GitHub — samego serca globalnej infrastruktury kodu. GitHub prowadzi dochodzenie i rotuje skompromitowane dane dostępowe.
Źródło: Sekurak [PL], BleepingComputer [EN], Security Affairs [EN], CyberScoop [EN]
CISA dodaje siedem podatności do katalogu KEV jednego dnia — rekordowy wpis w 2026 roku
CISA opublikowała wyjątkowo szeroki alert: w jednym dniu do katalogu KEV (Known Exploited Vulnerabilities) trafiło siedem nowych pozycji — luki aktywnie eksploitowane przez przestępców w środowiskach produkcyjnych. Wśród wpisów znalazły się podatności w popularnych platformach chmurowych, systemach Linux i narzędziach webowych. Tak szeroki jednorazowy wpis jest rzadkością i świadczy o szczególnie intensywnym tygodniu pod kątem aktywnej eksploatacji. Agencje federalne USA mają obowiązek wdrożyć łatki w określonym terminie; CISA apeluje do wszystkich organizacji o priorytetowe traktowanie tych pozycji niezależnie od sektora.
Źródło: CISA [EN]
Unia Europejska przyjęła zakaz systemów inwigilacji AI w przestrzeni publicznej
Parlament Europejski finalizuje przepisy zakazujące stosowania systemów AI do masowej inwigilacji biometrycznej w przestrzeni publicznej — zakaz dotyczy m.in. rozpoznawania twarzy w czasie rzeczywistym przez organy ścigania w miejscach publicznych. To bezpośredni skutek wieloletnich kampanii organizacji praw obywatelskich i stanowi jeden z najbardziej restrykcyjnych przepisów AI na świecie. Wyjątki od zakazu są wąskie i wymagają uprzedniej autoryzacji sądowej. Kraje UE będą miały 18 miesięcy na dostosowanie prawa krajowego i praktyki operacyjnej służb. Decyzja ma ogromne implikacje dla sektora technologicznego — wielu dostawców będzie musiało dostosować lub wycofać swoje produkty z rynku europejskiego.
Źródło: CySecurity News [EN]
🚨 INCYDENTY
Cyberatak na operatora nowojorskich szpitali — skradziono dane 18 milionów pacjentów
CyberDefence24 opisuje poważny cyberatak na dużego operatora sieci szpitalnej w Nowym Jorku, w wyniku którego cyberprzestępcy wykradli dane zdrowotne ponad 18 milionów pacjentów. Zakres naruszenia czyni go jednym z największych wycieków danych medycznych w historii USA. Skradzione informacje obejmują dane osobowe, historię leczenia, diagnozy, informacje ubezpieczeniowe i numery Social Security. Sektor zdrowotny jest regularnie atakowany ze względu na wartość danych medycznych na czarnym rynku — znacznie wyższą niż dane kart płatniczych. Poszkodowani pacjenci powinni szczególnie uważać na próby wyłudzenia pod pozorem korespondencji medycznej lub ubezpieczeniowej.
Źródło: CyberDefence24 [PL]
ANTV i Mini Shai Hulud — największy jak dotąd atak supply chain na ekosystem npm
Microsoft Security i Infosecurity Magazine opisują nową fazę kampanii Mini Shai Hulud: złośliwy robak skompromitował pakiety ANTV — popularną bibliotekę wizualizacji danych z milionami instalacji tygodniowo, szeroko stosowaną w aplikacjach biznesowych i dashboardach. To dotychczas największa ofiara kampanii supply chain w ekosystemie npm pod kątem skali potencjalnie skompromitowanych środowisk CI/CD. Robak nie tylko kradnie dane uwierzytelniające, ale też automatycznie infekuje kolejne pakiety, do których ma dostęp przez przejęte tokeny — tworząc efekt kaskadowy. Microsoft opublikował szczegółową analizę techniczną z IoC i zaleceniami.
Źródło: Infosecurity Magazine [EN], Microsoft Security Blog [EN]
Webworm APT ewoluuje — zaawansowana kampania szpiegowska uderza w Europę
Help Net Security i Infosecurity Magazine opisują nową falę aktywności grupy APT określanej jako Webworm, która zaktualizowała swoje taktyki i celuje w europejskie instytucje rządowe, firmy z sektora obronnego i infrastrukturę telekomunikacyjną. Webworm stosuje zaawansowane backdoory fileless, wielostopniowe C2 ukryte w legalnych platformach (GitHub Pages, CDN) i precyzyjne geotargetowanie ofiar. Kampania wzbudziła szczególne zainteresowanie analityków ze względu na podejrzane podobieństwo technik do chińskich grup APT, choć atrybucja nie jest potwierdzona. Obejmuje wektory: spear-phishing, exploitowanie urządzeń brzegowych VPN i przejęcia kont w chmurze.
Źródło: Help Net Security [EN], Infosecurity Magazine [EN]
💡 CIEKAWOSTKI
ORLEN pod cyberatakiem — setki milionów incydentów w kilka miesięcy, AI przyspiesza atakujących
CyberDefence24 ujawnia skalę cyberataków, z jakimi mierzy się ORLEN — Polska Spółka energetyczna i paliwowa należąca do infrastruktury krytycznej: w ciągu kilku ostatnich miesięcy firma zarejestrowała setki milionów prób incydentów cybernetycznych. Dyrektor ds. cyberbezpieczeństwa ORLEN potwierdza, że atakujący coraz powszechniej używają AI do automatyzacji skanowania i eskalacji ataków — to, co kiedyś wymagało tygodni pracy, dziś zajmuje godziny. ORLEN inwestuje w systemy detekcji anomalii oparte na AI i ścisłą segmentację sieci OT od IT. Skala jest niepokojąca, ale jednocześnie przekaz jest jasny: infrastruktura krytyczna jest pod stałym, zmasowanym ostrzałem cybernetycznym.
Źródło: CyberDefence24 [PL]
ChatGPT ma uzyskać dostęp do kont bankowych — eksperci alarmują o prywatności i ryzyku
Dobreprogramy opisują zapowiedź OpenAI dotyczącą integracji ChatGPT z kontami bankowymi użytkowników w ramach rozszerzeń agentowych. Funkcja miałaby pozwolić asystentowi AI na sprawdzanie saldów, analizowanie wydatków i — docelowo — wykonywanie transakcji w imieniu użytkownika. Eksperci ds. bezpieczeństwa biją na alarm: dane finansowe są jedną z najbardziej wrażliwych kategorii danych osobowych, a ich przekazanie do systemu AI oznacza ogromne ryzyko wycieku, nadużycia i nowych wektorów phishingowych. Banki wyrażają niepokój dotyczący odpowiedzialności prawnej za transakcje inicjowane przez AI. Regulatorzy RODO badają, czy takie rozwiązanie jest zgodne z europejskim prawem ochrony danych.
Źródło: Dobreprogramy [PL]
🎣 OSZUSTWA, SCAMY, EXPLOITY
80-latka straciła 15 tys. zł przez fałszywą reklamę Orlenu na Facebooku — klasyczny schemat
Dobreprogramy opisują tragiczny przypadek 80-letniej kobiety, która straciła 15 tysięcy złotych klikając w reklamę na Facebooku rzekomo od Orlenu, obiecującą atrakcyjne zyski z inwestycji w energię. Reklama prowadziła na fałszywą platformę inwestycyjną, gdzie "konsultant" przez telefon przeprowadził ją przez kolejne wpłaty, zapewniając o rosnących zyskach. Gdy kobieta chciała wypłacić środki — platforma zniknęła. Fałszywe reklamy inwestycyjne używające wizerunków znanych polskich marek (ORLEN, PKN, PKO, KGHM) są regularnie zgłaszane przez CERT Polska i KNF. Facebook mimo wielokrotnych wezwań nie wdrożył skutecznych mechanizmów weryfikacji reklamodawców — co spędza sen z powiek regulatorom.
Źródło: Dobreprogramy [PL]
CERT Polska: krytyczna luka w Drupal Core — aktywna eksploatacja i pilna potrzeba aktualizacji
CERT Polska wydał alert w sprawie krytycznej podatności w Drupal Core — systemie zarządzania treścią (CMS) stosowanym przez setki tysięcy stron internetowych na całym świecie, w tym wiele polskich portali rządowych i instytucjonalnych. Luka jest aktywnie eksploitowana przez atakujących. Drupal ma długą historię krytycznych podatności znanych jako "Drupalgeddon" — każda z nich była masowo eksploitowana w ciągu godzin od ujawnienia. Administratorzy stron na Drupalu muszą niezwłocznie zaktualizować do najnowszej wersji; zwłoka może oznaczać pełne przejęcie witryny i serwera.
Źródło: CERT Polska / moje.cert.pl [PL], BleepingComputer [EN]
🌐 DEZINFORMACJA, CYBER ВОЙНА
UNC1151 (Białoruś) z nową falą intensywnych ataków na Polskę i Europę Środkową
CyberDefence24 donosi, że białoruska grupa APT UNC1151 (znana też jako FrostyNeighbor i Ghostwriter) prowadzi nowe, intensywne działania wymierzone w Polskę i inne kraje Europy Środkowo-Wschodniej. Grup nadal prowadzi szerokie operacje dezinformacyjne i szpiegowskie, a najnowsza kampania różni się od opisanej w maju zaawansowaniem technicznym: atakujący stosują zaktualizowane narzędzia i nowe wektory phishingowe dostosowane do polskich kontekstów kulturowych i politycznych. UNC1151 działa na zlecenie białoruskich służb specjalnych i koordynuje z rosyjską GRU operacje wpływu wymierzone w osłabienie jedności NATO i polsko-ukraińskich relacji.
Źródło: CyberDefence24 [PL]
Deepfaki zalewają polski internet — technologia przestała być barierą, problemem jest nasza naiwność
Chip.pl opublikował analizę stanu problemu deepfake'ów w Polsce: według badań specjalistów rozróżnienie między prawdziwym a wygenerowanym przez AI zdjęciem lub filmem jest praktycznie niemożliwe bez specjalistycznych narzędzi. Deepfake'owe reklamy inwestycyjne, fałszywe "wywiady" z politykami i sfabrykowane "dowody" przestępstw stanowią coraz poważniejsze zagrożenie dla funkcjonowania debaty publicznej. Artykuł podsumowuje: bariery technologiczne dla tworzenia deepfake'ów praktycznie zniknęły, a problem migruje do przestrzeni społecznej i psychologicznej — jak nauczyć się wątpić i weryfikować to, co wydaje się oczywiste. Pierwsza zasada: każdy angażujący emocjonalnie materiał wideo lub zdjęcie z osobą publiczną warto traktować z podejrzliwością.
Źródło: Chip.pl [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 20 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.