🔐 Cyber Security Daily News | 02.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
Google przypisuje atak supply chain na bibliotekę axios północnokoreańskiej grupie UNC1069
Dzień po ujawnieniu ataku na bibliotekę axios Google Threat Intelligence Group opublikowało atrybucję — odpowiedzialność spoczywa na finansowo motywowanej grupie UNC1069, powiązanej z Koreą Północną i aktywnej przynajmniej od 2018 roku. Kluczowym dowodem jest użycie zaktualizowanego narzędzia WAVESHAPER.V2 — backdoora obserwowanego wcześniej wyłącznie w tej grupie — oraz powiązania infrastruktury C2 (sfrclak[.]com) z węzłem AstrillVPN historycznie używanym przez UNC1069. Malware wdrażało w pełni funkcjonalnego trojana zdalnego dostępu na Windowsie, macOS i Linuksie. Google ostrzega, że skala incydentu jest szersza niż sądzono: UNC1069 to nie jedyna grupa aktywna w atakach na łańcuchy dostaw — ta sama infrastruktura jest powiązana z TeamPCP (odpowiedzialnym za ataki na Trivy, LiteLLM i Telnyx). Łącznie w krótkim czasie wykradziono potencjalnie setki tysięcy sekretów i kluczy z zainfekowanych środowisk deweloperskich.
Źródło: Security Affairs [EN] | HelpNetSecurity [EN]
Czwarty zero-day Chrome w 2026 roku — CVE-2026-5281 aktywnie eksploitowany, Google wydaje pilną łatkę
Google opublikowało aktualizację Chrome eliminującą 21 podatności, w tym zero-day CVE-2026-5281 — błąd use-after-free w komponencie Dawn (implementacja WebGPU). Podatność pozwala zdalnemu atakującemu, który zdołał skompromitować proces renderowania przeglądarki, wykonać dowolny kod poprzez spreparowaną stronę HTML. Google potwierdziło, że exploit jest aktywnie wykorzystywany w naturze, choć — jak zwykle w takich przypadkach — nie ujawniło szczegółów dotyczących sprawców ani ofiar. To już czwarty aktywnie eksploitowany zero-day Chrome od początku 2026 roku. Użytkownicy powinni natychmiast zaktualizować Chrome do wersji 146.0.7680.177/178 — to samo dotyczy użytkowników przeglądarek opartych na Chromium: Edge, Brave, Opera i Vivaldi.
Źródło: The Hacker News [EN] | SecurityWeek [EN] | HelpNetSecurity [EN]
FBI ostrzega przed ryzykiem dla bezpieczeństwa danych wynikającym z chińskich aplikacji mobilnych
FBI wydało oficjalne ostrzeżenie przed używaniem aplikacji mobilnych tworzonych przez firmy chińskie lub z chińskim kapitałem. Agencja wskazuje na ryzyko gromadzenia i transferu danych użytkowników do Chin — w tym danych lokalizacyjnych, kontaktów, wiadomości i wzorców użytkowania — zgodnie z chińskim prawem zobowiązującym firmy do współpracy z organami bezpieczeństwa na żądanie. Ostrzeżenie nie wymienia konkretnych aplikacji z nazwy, ale jest szerszą polityką wynikającą z napięć wokół m.in. TikToka i aplikacji sklepowych. Agencja zaleca szczególną ostrożność osobom zajmującym wrażliwe stanowiska rządowe, wojskowe i korporacyjne.
Źródło: SecurityWeek [EN] | BleepingComputer [EN]
2. INCYDENTY
Anthropic przez pomyłkę opublikował kod źródłowy narzędzia Claude Code — ponad 500 tysięcy linii kodu ujawnionych
Anthropic przypadkowo dołączył duży plik debugowania do publicznej wersji Claude Code w rejestrze npm, przez co ponad 500 000 linii wewnętrznego kodu źródłowego stało się publicznie dostępnych. Deweloperzy szybko to wykryli, udostępnili analizę online i zaczęli rozkładać kod na czynniki pierwsze. Anthropic potwierdziło incydent, podkreślając, że nie doszło do wycieku danych klientów ani poświadczeń dostępu — była to wyłącznie pomyłka przy pakowaniu wersji. Wyciek ujawnił m.in. wewnętrzną architekturę systemu pamięci Claude Code, nazwy wewnętrznych projektów (Capybara, Fennec, Numbat) i szczegóły nieupublicznionych funkcji, w tym trybu autonomicznego KAIROS. Dla atakujących szczegółowa wiedza o architekturze wewnętrznej modelu i jego ograniczeniach to potencjalny punkt wyjścia do planowania bardziej wyrafinowanych obejść.
Źródło: Security Affairs [EN] | CRN.pl [PL]
Ransomware Qilin rzekomo przeniknął do Dow Inc — jednego z największych producentów chemicznych na świecie
SecurityBezTabu opisuje doniesienia o tym, że grupa ransomware Qilin twierdzi, że włamała się do systemów Dow Inc — giganta przemysłu chemicznego z przychodami rzędu 45 miliardów dolarów rocznie. Na swoim wycieku dark webowym Qilin zamieściło rzekome dowody dostępu do danych firmy. Dow Inc nie potwierdziło ani nie zaprzeczyło incydentowi na moment publikacji artykułu. Qilin jest grupą aktywną od 2022 roku, odpowiedzialną m.in. za głośny atak na dostawcę usług laboratoryjnych NHS Synnovis w 2024 roku. Atak na producenta chemicznego klasy Dow — surowców przemysłowych, agrochemikaliów i materiałów zaawansowanych — mógłby mieć istotne konsekwencje dla łańcuchów dostaw w wielu gałęziach przemysłu.
Źródło: SecurityBezTabu [PL]
80% brytyjskich producentów doświadczyło cyberataku w ciągu ostatnich 12 miesięcy
The Register i Infosecurity Magazine opisują raport pokazujący alarmujący stan cyberbezpieczeństwa w brytyjskim sektorze przemysłowym: 8 na 10 producentów padło ofiarą cyberataku w ostatnim roku. Sektor produkcyjny jest coraz atrakcyjniejszym celem — zarządza krytyczną infrastrukturą, korzysta ze starszych systemów OT (operational technology) rzadko aktualizowanych, a przerwy w produkcji są wyjątkowo kosztowne, co zwiększa skłonność do płacenia okupu. Raport wskazuje też, że wiele firm nadal nie integruje bezpieczeństwa IT z systemami OT/ICS, tworząc izolowane środowiska ochrony, które są coraz łatwiej obchodzone przez nowoczesne grupy APT.
Źródło: The Register [EN] | Infosecurity Magazine [EN]
3. CIEKAWOSTKI
Rosyjska grupa Sednit (Fancy Bear) powraca — polskie i ukraińskie organizacje ponownie na celowniku
CyberDefence24 w oparciu o raport ESET opisuje powrót grupy Sednit (znana też jako Fancy Bear / APT28) do aktywnych kampanii wymierzonych w organizacje w Polsce i Ukrainie. Sednit jest powiązana z rosyjskim wywiadem wojskowym GRU i od lat atakuje cele rządowe, wojskowe, think tanki i organizacje pozarządowe. Nowe kampanie korzystają z zaktualizowanych wariantów znanych narzędzi grupy, w tym backdoorów i infostealerów. Polska jako kraj sąsiadujący z Ukrainą i aktywny uczestnik wsparcia wojskowego jest regularnym celem rosyjskich APT. Organizacje z sektora obrony, administracji rządowej i instytucji zbliżonych do rządu powinny szczególnie monitorować pod kątem wskaźników kompromitacji związanych z Sedni.
Źródło: CyberDefence24 [PL]
Darmowe VPN-y: badania pokazują, że serwisy reklamujące prywatność faktycznie zbierają i sprzedają dane
Security Affairs opisuje wyniki badań ujawniających, że wiele popularnych darmowych aplikacji VPN — reklamujących się hasłem „twoja prywatność jest chroniona" — w rzeczywistości gromadzi dane użytkowników, w tym historię przeglądania, zapytania DNS i metadane połączeń, a następnie sprzedaje je brokerom danych lub reklamodawcom. Problem jest systemowy: model biznesowy darmowego VPN często zakłada właśnie monetyzację danych użytkowników, bo nie ma innego źródła przychodów. Badacze zwracają uwagę, że niektóre VPN-y podlegają jurysdykcjom krajów bez ochrony danych osobowych lub z obowiązkiem przekazywania danych służbom na żądanie. Warto sprawdzać niezależne audyty VPN przed powierzeniem mu całego swojego ruchu internetowego.
Źródło: Security Affairs [EN]
Dobreprogramy ostrzegają: odbieranie telefonów z nieznanych numerów to jeden z najniebezpieczniejszych nawyków
Dobreprogramy omawiają problem socjotechniki przez telefon i wskazują, że automatyczne odbieranie połączeń z nieznanych numerów jest jednym z najczęstszych wektorów ataku na osoby prywatne. Przestępcy podszywają się pod banki, urzędy skarbowe, kurierów i operatorów telekomunikacyjnych, by wyłudzić dane osobowe, kody jednorazowe lub nakłonić do instalacji złośliwego oprogramowania. Artykuł podpowiada praktyczne zasady: nie podawaj żadnych danych w połączeniu przychodzącym — rozłącz się i zadzwoń sam na oficjalny numer instytucji znaleziony samodzielnie. Banki nigdy nie proszą o hasła, kody BLIK ani kody autoryzacyjne przez telefon.
Źródło: Dobreprogramy [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
Kampania z WhatsApp dystrybuuje złośliwe pakiety MSI jako fałszywe dokumenty — Microsoft ostrzega
Microsoft i Malwarebytes opisują aktywną kampanię, w której atakujący wysyłają przez WhatsApp na Windowsie pliki wyglądające jak dokumenty (PDF, Word) — ale w rzeczywistości są to złośliwe pakiety MSI lub skrypty VBS. Po uruchomieniu instalują backdoory dające zdalny dostęp do systemu. Kampania jest szczególnie niebezpieczna, bo WhatsApp jest powszechnie postrzegany jako bezpieczny kanał komunikacji z bliskimi — i właśnie na to zaufanie liczą atakujący. Microsoft zaleca włączenie opcji wyświetlania rozszerzeń plików w Windowsie, by zobaczyć, że plik podpisany jako „faktura.pdf" ma w rzeczywistości rozszerzenie .msi lub .vbs.
Źródło: Malwarebytes [EN] | The Register [EN]
Venom Stealer dostępny jako usługa — gotowa platforma do kradzieży danych przez ClickFix
Infosecurity Magazine i Dark Reading opisują rosnącą popularność Venom Stealera sprzedawanego w modelu MaaS (Malware-as-a-Service) na forach cyberprzestępczych. Platforma oferuje przestępcom gotowy panel administracyjny i automatycznie generowane ładunki infostealera dostosowane do różnych wektorów ataku — w tym przez technikę ClickFix (fałszywe CAPTCHA lub instrukcje „naprawienia błędu" nakłaniające do wklejenia kodu w terminalu). Venom Stealer wykrada hasła z przeglądarek, tokeny sesji, portfele kryptowalutowe i pliki konfiguracyjne. Model MaaS obniża próg wejścia do cyberprzestępczości — nie trzeba umieć pisać malware, wystarczy go wynająć za kilkadziesiąt dolarów miesięcznie.
Źródło: Infosecurity Magazine [EN] | Dark Reading [EN]
Casbaneiro — trojan bankowy celuje w użytkowników bankowości w Ameryce Łacińskiej przez kampanię phishingową
The Hacker News opisuje nową kampanię trojana bankowego Casbaneiro, który od lat terroryzuje użytkowników bankowości w Brazylii i Meksyku, a teraz rozszerzył działalność na kolejne kraje latynoamerykańskie. Kampania wykorzystuje starannie przygotowane e-maile phishingowe imitujące faktury, powiadomienia podatkowe i dokumenty rządowe. Po infekcji Casbaneiro monitoruje okna przeglądarki pod kątem stron bankowych i nakłada fałszywe nakładki do przechwytywania danych logowania. Warto odnotować, że podobne techniki są stosowane przez europejskie grupy przestępcze wymierzone w polskich użytkowników — ewolucja tych kampanii jest warta obserwowania.
Źródło: The Hacker News [EN]
5. DEZINFORMACJA, CYBER WOJNA
Rosyjskie deepfake'i fałszywych ukraińskich uchodźców zalewają TikToka — skoordynowana kampania dezinformacyjna
CyberDefence24 opisuje nową rosyjską operację dezinformacyjną zidentyfikowaną przez Ukraińskie Centrum Przeciwdziałania Dezinformacji (CPD). Na TikToku pojawiają się masowo filmy z rzekomymi Ukraińcami relacjonującymi swoje życie na emigracji i namawianymi do opuszczenia kraju — ale wszystkie postacie są wygenerowane przez AI, a nie prawdziwymi ludźmi. Materiały są publikowane masowo z jednego lub kilku kont w krótkich odstępach czasowych, co wskazuje na zautomatyzowaną produkcję i scentralizowane zarządzanie. Narracja konsekwentnie przedstawia Ukrainę jako kraj „bez przyszłości" i „niestabilny". Cel jest dwojaki: skłonić Ukraińców do emigracji i podważyć zaufanie do instytucji państwowych — klasyczne cele operacji informacyjnej w czasie konfliktu.
Źródło: CyberDefence24 [PL]
Chińscy hakerzy TA416 reaktywują kampanię szpiegowską wymierzoną w europejskie instytucje
Infosecurity Magazine i CyberScoop opisują reaktywację grupy TA416 (powiązanej z chińskim wywiadem) i jej nową kampanię ukierunkowaną na europejskie instytucje rządowe, organizacje dyplomatyczne i think tanki zajmujące się polityką zagraniczną wobec Chin. Kampania jest odpowiedzią na napięcia geopolityczne — wzrost napięć wokół Tajwanu, Morza Południowochińskiego i sankcji technologicznych. TA416 stosuje wyrafinowane spear-phishing z dokumentami wabikami związanymi z bieżącymi wydarzeniami geopolitycznymi. Eksperci podkreślają, że wzrost aktywności chińskich APT wobec Europy w dużej mierze wynika z rosnącego zaangażowania europejskich rządów w politykę wobec Chin.
Źródło: Infosecurity Magazine [EN] | CyberScoop [EN]
Iran zapowiada cyberataki na amerykańskie firmy technologiczne jako odpowiedź na eskalację napięć
CRN.pl informuje, że irańskie władze zapowiedziały eskalację działań cybernetycznych wymierzonych w największe amerykańskie firmy technologiczne (Big Tech) w odpowiedzi na sankcje i rosnące napięcia militarne. Zapowiedź jest o tyle poważna, że pochodzi z oficjalnych kanałów irańskiego rządu, a nie tylko od grup haktywistycznych. Irańskie APT jak Charming Kitten, Sandstorm (dawniej Holmium) czy Mint Sandstorm specjalizują się w infiltracji środowisk chmurowych, kradzieży danych i sabotażu infrastruktury. Atak na Big Tech mógłby mieć kaskadowy efekt na miliony klientów korzystających z ich usług — od systemów poczty e-mail po platformy chmurowe i rejestr aplikacji.
Źródło: CRN.pl [PL]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 1 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.