Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
Najnowszy raport podsumowujący rok 2025 w ekosystemie Open Source rzuca ponure światło na bezpieczeństwo łańcucha dostaw oprogramowania. Analitycy wskazują na drastyczny wzrost liczby złośliwych paczek w popularnych rejestrach, które nie są już tylko dziełem amatorów, ale wyrafinowanych grup przestępczych. Destrukcyjne malware, koparki kryptowalut i tylne furtki zaszyte w kodzie, z którego korzystają miliony deweloperów, stały się nową normalnością. Raport podkreśla, że tradycyjne skanery podatności często nie wykrywają tych zagrożeń, ponieważ złośliwy kod jest sprytnie maskowany lub aktywowany z opóźnieniem. To sygnał dla firm, by weryfikować każdą zewnętrzną zależność, a nie ufać ślepo społeczności.
Źródło: Socket.dev [EN]
Sektor finansowy znów znalazł się na celowniku grup powiązanych z reżimem w Pjongjangu, które wykorzystują złośliwe oprogramowanie BeaverTail. Malware ten jest dystrybuowany poprzez fałszywe oferty pracy i rekrutację w mediach społecznościowych, celując w pracowników banków i fintechów. BeaverTail potrafi wykradać dane z przeglądarek, portfele kryptowalutowe oraz sesje komunikatorów, działając po cichu w tle zainfekowanych systemów. Ataki te są częścią szerszej kampanii mającej na celu pozyskiwanie funduszy dla Korei Północnej, omijając międzynarodowe sankcje. Instytucje finansowe muszą wzmocnić szkolenia pracowników z zakresu socjotechniki, bo to człowiek pozostaje najsłabszym ogniwem.
Źródło: SC World [EN]
Badacze z Synacktiv ujawnili szczegóły dotyczące poważnej podatności w frameworku Livewire, która umożliwia zdalne wykonanie kodu (RCE) poprzez mechanizm unmarshalingu danych. Atakujący może wykorzystać tę lukę, manipulując danymi przesyłanymi do aplikacji, co w konsekwencji pozwala na przejęcie kontroli nad serwerem. Problem dotyczy aplikacji webowych, które nieprawidłowo walidują dane wejściowe użytkownika przed ich przetworzeniem. Administratorzy i programiści korzystający z Livewire powinni niezwłocznie zapoznać się z biuletynem bezpieczeństwa i wdrożyć odpowiednie łatki lub mechanizmy mitygacji.
Źródło: Synacktiv [EN]
W repozytorium NPM odkryto złośliwą paczkę, która została pobrana ponad 56 tysięcy razy, zanim została usunięta. Z pozoru niewinna biblioteka zawierała kod, którego głównym celem było wykradanie sesji i wiadomości z komunikatora WhatsApp (zarówno w wersji webowej, jak i desktopowej). Atak ten pokazuje, jak szeroki zasięg mogą mieć ataki na łańcuch dostaw – jeden zainfekowany komponent może skompromitować tysiące projektów i ich użytkowników. To kolejne ostrzeżenie dla deweloperów, by audytować kod, który importują do swoich aplikacji, zamiast polegać wyłącznie na statystykach popularności paczki.
Źródło: Koi.ai [EN]
Użytkownicy komputerów Apple nie mogą spać spokojnie – wykryto nowe złośliwe oprogramowanie typu infostealer o nazwie MacSync. Co gorsza, malware ten wykorzystuje ważne podpisy cyfrowe deweloperów, co pozwala mu omijać wbudowane w macOS zabezpieczenia Gatekeeper, które zazwyczaj blokują niezweryfikowane aplikacje. Szkodnik maskuje się jako legalne narzędzie, a po uruchomieniu wykrada dane logowania, pliki cookie i informacje z portfeli krypto. To dowód na to, że rynek złośliwego oprogramowania na platformę Apple dynamicznie się rozwija, a same certyfikaty nie są gwarancją bezpieczeństwa.
Źródło: The Hacker News [EN]
Firma Cyble donosi o rekordowej liczbie nowych podatności wykrytych w systemach sterowania przemysłowego (ICS) w ciągu zaledwie jednego tygodnia. Luki te dotyczą kluczowych komponentów infrastruktury krytycznej, w tym systemów energetycznych i produkcyjnych, co stwarza realne ryzyko sabotażu lub szpiegostwa przemysłowego. Wzrost liczby zgłoszeń może wynikać z większego zainteresowania badaczy tym sektorem, ale też z faktu, że systemy OT są coraz częściej podłączane do sieci, co eksponuje ich stare błędy. Operatorzy infrastruktury muszą przyspieszyć procesy patchowania, co w środowisku przemysłowym jest zadaniem niezwykle trudnym.
Źródło: Cyble [EN]
McAfee opublikowało przydatny poradnik, jak odróżnić fizyczną usterkę wyświetlacza smartfona od objawów przejęcia urządzenia przez hakerów. Często złośliwe oprogramowanie typu RAT (Remote Access Trojan) może powodować, że ekran wydaje się wyłączony lub zniekształcony, podczas gdy w tle odbywa się kradzież danych. Artykuł podpowiada, na jakie subtelne sygnały zwracać uwagę – takie jak przegrzewanie się urządzenia, szybkie zużycie baterii czy dziwne dźwięki – aby zdiagnozować problem. To cenna wiedza dla każdego użytkownika, który kiedykolwiek zastanawiał się, dlaczego jego telefon "żyje własnym życiem".
Źródło: McAfee [EN]
Antyweb analizuje dynamiczny wyścig zbrojeń w świecie sztucznej inteligencji, wskazując, że OpenAI przygotowuje się do wypuszczenia nowych modeli, które mają zniwelować dystans do rosnącej konkurencji. W obliczu premier od Google i innych graczy, ChatGPT musi ewoluować, oferując lepsze rozumowanie, mniejszą liczbę halucynacji i szybsze działanie. Artykuł spekuluje na temat nowych funkcji, które mogą zmienić sposób, w jaki pracujemy z asystentami AI w 2026 roku. Dla branży security oznacza to nowe wyzwania związane z weryfikacją treści i ochroną przed deepfake'ami.
Źródło: Antyweb [PL]
Badacze bezpieczeństwa odkryli nową kampanię dystrybucji malware'u Amadey, która w sprytny sposób wykorzystuje serwery GitLab do pobierania kolejnych złośliwych ładunków, w tym stealera o nazwie Stealc. Użycie legalnej infrastruktury deweloperskiej pozwala przestępcom na ukrycie ruchu sieciowego przed systemami detekcji, które zazwyczaj ufają połączeniom z GitLabem. Infekcja prowadzi do kradzieży danych logowania z przeglądarek i portfeli ofiar. To kolejny przykład taktyki "Living off the Land", gdzie legalne usługi chmurowe stają się narzędziem w rękach cyberprzestępców.
Źródło: SC World [EN]
Wykryto gwałtowny, bo aż 62-procentowy wzrost aktywności kampanii oszustw inwestycyjnych pod nazwą Nomani. Przestępcy tworzą profesjonalnie wyglądające platformy handlowe i aplikacje, kusząc ofiary obietnicą szybkich i wysokich zysków z inwestycji w kryptowaluty lub akcje. Schemat działania jest klasyczny: początkowe małe zyski zachęcają do wpłaty większych kwot, które następnie znikają bezpowrotnie. Wzrost ten świadczy o wysokiej skuteczności socjotechniki stosowanej przez grupę oraz o niesłabnącej chciwości (i naiwności) inwestorów.
Źródło: The Hacker News [EN]
Sezon zapisów na ubezpieczenia zdrowotne (Open Enrollment) to żniwa dla oszustów, którzy masowo tworzą fałszywe strony i rozsyłają phishing. McAfee ostrzega przed telefonami i mailami oferującymi "tańsze plany" lub grożącymi utratą ubezpieczenia w przypadku braku aktualizacji danych. Ofiary, pod presją czasu i strachu o zdrowie, często przekazują wrażliwe dane osobowe i finansowe, które służą później do kradzieży tożsamości medycznej. Weryfikacja źródła każdej oferty ubezpieczeniowej jest w tym okresie absolutnie kluczowa.
Źródło: McAfee [EN]
Talos Intelligence opublikował szczegółową analizę grupy oznaczanej jako UAT-9686, która prowadzi zaawansowane operacje szpiegowskie. Grupa ta wykorzystuje niestandardowe narzędzia i techniki maskowania, aby infiltrować sieci organizacji o znaczeniu strategicznym. Choć atrybucja wciąż jest badana, cele i metody działania sugerują motywację polityczną lub wywiadowczą, wpisującą się w krajobraz współczesnej cyberwojny. Raport ten jest cennym źródłem IoC (Indicators of Compromise) dla zespołów SOC broniących infrastrukturę krytyczną.
Źródło: Talos Intelligence [EN]
Serwis Kontrabanda omawia kontrowersyjne doniesienia dotyczące potencjalnych zakazów wjazdu do Stanów Zjednoczonych dla europejskich urzędników i aktywistów cyfrowych, w tym byłego komisarza Thierry'ego Bretona. Sprawa ma tło polityczne i wiąże się z twardym stanowiskiem UE wobec amerykańskich gigantów technologicznych oraz regulacjami takimi jak DSA/DMA. Jeśli doniesienia się potwierdzą, będzie to bezprecedensowe zaostrzenie relacji transatlantyckich na tle regulacji cyfrowych, pokazujące, że cyberpolityka staje się elementem twardej dyplomacji.
Źródło: Kontrabanda [PL]
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.
