🔐 Cyber Security Daily News | 03.05.2026

Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.

---

Mam wystarczająco materiału. Składam zestawienie.

---

🛡️ Cyber Security Daily News — 2 maja 2026

---

📰 NEWS

mSzyfr — rządowy komunikator miał być w 100% polski. Ekspert: to nieprawda

Dziennikarz serwisu Zero.pl przeprowadził szczegółową analizę techniczną komunikatora mSzyfr, który Ministerstwo Cyfryzacji promuje jako "pierwsze polskie, bezpłatne narzędzie do bezpiecznej komunikacji" dla całej administracji. Minister Paweł Olszewski zapewniał, że aplikacja oparta jest wyłącznie na polskim kodzie i polskiej infrastrukturze, bez żadnych zewnętrznych komponentów. Analiza wewnętrzna odsłoniła jednak inną prawdę: pod polską nazwą kryją się gotowe, zagraniczne technologie open source — m.in. silnik Matrix. Eksperci komentujący sprawę wskazują, że ministerstwo albo świadomie wprowadza opinię publiczną w błąd, albo korzysta z zewnętrznego oprogramowania w sposób niezgodny z jego licencją. Kwestia jest o tyle poważna, że mSzyfr ma obsługiwać wrażliwą komunikację w całej administracji rządowej — a brak przejrzystości co do używanych komponentów rodzi uzasadnione pytania o bezpieczeństwo i audytowalność systemu.

Źródło: Zero.pl [PL]

---

Trellix — firma cyberbezpieczeństwa ujawnia naruszenie repozytorium kodu źródłowego

Trellix (dawne McAfee Enterprise i FireEye), jeden z największych na świecie dostawców platform do wykrywania i reagowania na zagrożenia, ogłosił, że nieznani sprawcy uzyskali nieautoryzowany dostęp do części jego repozytorium kodu źródłowego. Firma niezwłocznie uruchomiła śledztwo z udziałem zewnętrznych ekspertów ds. kryminalistyki cyfrowej i powiadomiła organy ścigania. Trellix podkreśla, że nie znaleziono dowodów na to, by skradziony kod był modyfikowany lub exploitowany — procesy dystrybucji oprogramowania pozostały nienaruszone. Szczegóły dotyczące skali wycieku, czasu trwania dostępu i sprawców nie zostały ujawnione. To szczególnie niepokojący incydent — firma sprzedaje narzędzia bezpieczeństwa tysiącom klientów korporacyjnych, a dostęp do jej kodu źródłowego może ułatwić znajdowanie nowych luk w jej produktach. Sprawa jest w toku.

Źródło: The Hacker News [EN], Security Affairs [EN]

---

ConsentFix v3 — zautomatyzowany atak nadużywa OAuth do przejęcia kont Azure

Badacze zidentyfikowali nową kampanię ataków o nazwie ConsentFix v3, która automatyzuje nadużycia mechanizmu OAuth w celu przejęcia kont Microsoft Azure. Schemat działania polega na skłonieniu ofiary (zazwyczaj pracownika firmy) do zaakceptowania uprawnień złośliwej aplikacji OAuth — po jednym kliknięciu atakujący otrzymuje trwały dostęp do konta bez konieczności znania hasła. Nowa wersja kampanii jest w pełni zautomatyzowana — narzędzie skaluje ataki masowo i może jednocześnie atakować setki celów. Azure i Microsoft 365 to dziś centrum firmowej infrastruktury IT — poczta, SharePoint, Teams, dane klientów — więc jedno kliknięcie pracownika może dać napastnikowi klucze do całego królestwa. Eksperci zalecają przegląd uprawnień OAuth w tenancie Azure i wdrożenie polityk ograniczających, które aplikacje użytkownicy mogą autoryzować.

Źródło: BleepingComputer [EN]

---

🚨 INCYDENTY

Lazarus (Korea Północna) kradnie 290 mln dolarów z platformy Kelp DAO — największy napad na DeFi w 2026 roku

Związana z Koreą Północną grupa TraderTraitor (część Lazarus) przeprowadziła największy w 2026 roku atak na sektor zdecentralizowanych finansów (DeFi), kradnąc około 290–292 mln dolarów z protokołu Kelp DAO. Techniczny mechanizm był wyrafinowany: napastnicy skompromitowali infrastrukturę LayerZero, zaatakowali węzły weryfikacyjne atakiem DDoS, a gdy te zaczęły działać awaryjnie, wstrzyknęli fałszywe instrukcje cross-chain — system uwierzył, że transakcja jest legalna, i przelał środki. Kelp DAO i LayerZero do dziś wzajemnie się obwiniają: Kelp wskazuje na podatność infrastruktury LayerZero, a ta odpowiada, że wielokrotnie ostrzegała Kelp przed stosowaniem przestarzałej konfiguracji z jednym węzłem weryfikacyjnym. Atak wywołał efekt kaskadowy w całym DeFi — TVL (łączna zablokowana wartość) sektora spadło o 13 mld dolarów w jeden weekend. Łącznie Lazarus ukradł już w DeFi ponad 575 mln dolarów w ciągu 18 dni (wcześniej 285 mln z Drift Protocol).

Źródło: Dark Reading [EN], CySecurity News [EN]

---

Instructure — firma edukacyjna obsługująca miliony studentów ujawnia cyberincydent

Instructure, twórca Canvas — jednej z najpopularniejszych platform e-learningowych dla szkół wyższych, z dziesiątkami milionów użytkowników na całym świecie — ujawnił incydent bezpieczeństwa i wszczął śledztwo w celu ustalenia jego zakresu. Firma nie ujawniła na razie żadnych szczegółów dotyczących wektora ataku ani skali ewentualnego wycieku danych. Na platformach edukacyjnych gromadzone są dane wrażliwe: wyniki studentów, informacje o zdrowiu, plany nauki, komunikacja z wykładowcami. Incydent potwierdza, że sektor edukacyjny jest jednym z najczęściej atakowanych — systemy szkolne i akademickie rzadko dysponują budżetami na bezpieczeństwo porównywalnymi z sektorem finansowym, a ich bazy danych zawierają dane setek tysięcy pełnoletnich i niepełnoletnich użytkowników.

Źródło: BleepingComputer [EN]

---

💡 CIEKAWOSTKI

Dezinformacja w wyborach — analiza węgierska jako lekcja dla Polski przed głosowaniem

Demagog.pl opublikował rozbudowaną analizę operacji dezinformacyjnych przeprowadzonych w czasie wyborów parlamentarnych na Węgrzech w 2022 r. — ze szczegółowym opisem mechanizmów: siatek fałszywych kont, koordynowanych kampanii na Facebooku, technik "false flag" i przejmowania narracji medialnej. Autorzy wprost wskazują, jakie wnioski Polska powinna wyciągnąć przed własnymi wyborami: brak regulacji platform, słabość polskich mediów lokalnych jako wektora dezinformacji i podatność algorytmów rekomendacyjnych na amplifikowanie treści emocjonalnie angażujących. Dezinformacja wyborcza nie jest zagrożeniem abstrakcyjnym — analiza pokazuje konkretne, mierzalne mechanizmy wpływu na wynik głosowania. To lektura obowiązkowa dla każdego, kto chce rozumieć współczesne operacje informacyjne.

Źródło: Demagog.pl [PL]

---

Snake Keylogger — jak działa jedno z najpopularniejszych narzędzi do kradzieży haseł

SIRT.pl publikuje szczegółową analizę techniczną Snake Keyloggera — jednego z najdłużej działających i wciąż aktywnych infostealerów dostępnych w darknecie. Malware rejestruje każde naciśnięcie klawisza, kradnie hasła zapisane w przeglądarkach i klientach poczty (Chrome, Firefox, Outlook, Thunderbird), a zebrane dane wysyła przez kanały takie jak SMTP, FTP i Telegram. Artykuł wyjaśnia krok po kroku, jak Snake trafia na komputer ofiary (najczęściej przez zainfekowane dokumenty Office w e-mailach), jak unika wykrycia przez antywirusy i jak przechowuje skradzione dane lokalnie przed wysłaniem. Dla użytkownika końcowego najważniejszy wniosek jest jeden: nawet "bezpieczny" dokument Word z nieznanego e-maila może być wektorem ataku — i żaden menedżer haseł nie ochroni nas, jeśli keylogger działa w tle.

Źródło: SIRT.pl [PL]

---

🎣 OSZUSTWA, SCAMY, EXPLOITY

Fałszywe wiadomości od "kuriera DPD" — CERT Orange ostrzega przed nową falą phishingu

CERT Orange Polska ostrzega przed aktywną kampanią phishingową, w której przestępcy podszywają się pod firmę kurierską DPD i wysyłają masowo e-maile oraz SMS-y z informacją o niedostarczonej paczce i konieczności dopłaty. Link prowadzi na stronę łudząco podobną do serwisu DPD, gdzie ofiara proszona jest o podanie danych adresowych, telefonu i — w końcowym kroku — pełnych danych karty płatniczej. Oszuści celowo wpisują niską kwotę "dopłaty" (1–2 zł), by uśpić czujność. Strona fałszywie powołuje się na certyfikaty bezpieczeństwa (PCI DSS, 3D Secure), których faktycznie nie stosuje. Zasada jest prosta: DPD nigdy nie wysyła linków do płatności w SMS-ach. Status paczki należy sprawdzać wyłącznie bezpośrednio na stronie tracktrace.dpd.com.pl, wpisując ją ręcznie w pasku przeglądarki.

Źródło: CERT Orange [PL]

---

Chiński serwis cyberprzestępczy: 45 tys. ataków, 53 tys. backdoorów — skala szokuje

Hackread opisuje ujawnioną przez służby skalę działalności chińskiej sieci cyberprzestępczej, która w ciągu swojej aktywności przeprowadziła co najmniej 45 000 cyberataków i zainstalowała ponad 53 000 tylnych drzwi (backdoorów) w systemach na całym świecie. Operacja obejmowała zaawansowane narzędzia do długoterminowej obecności w zainfekowanych sieciach — w większości bez wiedzy ofiar. Backdeory instalowane w skompromitowanych systemach mogą latami służyć jako uśpione punkty dostępu, aktywowane na żądanie do szpiegostwa lub sabotażu. Ujawnienie tej skali działalności to sygnał, że globalna infrastruktura IT jest znacznie bardziej skompromitowana, niż większość organizacji zdaje sobie sprawę.

Źródło: Hackread [EN]

---

🌐 DEZINFORMACJA, CYBER WOJNA

Metadane Firefoxa i Tora ujawniają tożsamość użytkowników przez lukę w IndexedDB

Badacze z Fingerprint odkryli podatność w silniku przeglądarki Gecko (używanym przez Firefox i Tor Browser), która pozwala złośliwym stronom identyfikować użytkowników przez odciski palców IndexedDB — nawet jeśli korzystają z Tor Browsera. Problem polega na tym, że różne strony internetowe mogą podglądać nazwy baz danych IndexedDB tworzonych przez inne strony w tej samej sesji przeglądarki, co umożliwia śledzenie użytkownika między serwisami — naruszenie fundamentalnej zasady izolacji. Dla użytkowników Tora, którzy polegają na anonimowości jako ochronie w krajach o ograniczonej wolności słowa lub przed służbami, to szczególnie poważna informacja. Luka jest w trakcie analizy przez Mozilla Security Team; tymczasem zaleca się wyłączenie JavaScript w ustawieniach Tora lub korzystanie z trybu "Safest".

Źródło: Fingerprint [EN]

---

Rosja i AI na polu walki — raport CyberScoop o wytycznych USA/NATO w zakresie bezpiecznego wdrażania agentów AI

Agencje CISA, NSA i sojusznicy z grupy Five Eyes opublikowały wspólne wytyczne dotyczące bezpiecznego wdrażania systemów agentowych AI w środowiskach rządowych i militarnych. Dokument opisuje konkretne zagrożenia wynikające z autonomicznych systemów AI: podatność na wstrzykiwanie poleceń (prompt injection), ryzyko przejęcia łańcucha narzędzi przez atakującego oraz nieautoryzowane działania agenta wykraczające poza zamierzony zakres. W kontekście eskalacji militaryzacji AI przez Rosję i Chiny opublikowanie takich wytycznych przez zachodni sojusz ma wyraźny wymiar strategiczny — to sygnał, że podejście "deploy fast, patch later" jest niedopuszczalne w systemach działających w środowiskach wysokiego ryzyka.

Źródło: CyberScoop [EN]

---

📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 2 maja 2026 r. W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.