🔐 Cyber Security Daily News | 05.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
CERT Polska ostrzega przed krytyczną podatnością CVE-2026-35616 w FortiClient EMS — możliwe zdalne wykonanie kodu bez uwierzytelnienia
CERT Polska wydał pilny komunikat dla administratorów dotyczący krytycznej podatności CVE-2026-35616 w oprogramowaniu FortiClient EMS (Enterprise Management Server) firmy Fortinet. Błąd umożliwia nieautoryzowanemu atakującemu zdalne wykonanie kodu przez przesłanie odpowiednio spreparowanego żądania HTTP — bez konieczności posiadania konta ani znajomości hasła. FortiClient EMS służy do centralnego zarządzania agentami FortiClient na stacjach roboczych w środowiskach korporacyjnych, co oznacza, że kompromitacja serwera daje potencjalnie dostęp do tysięcy urządzeń końcowych. HelpNetSecurity potwierdza, że podatność jest już aktywnie eksploitowana przez atakujących. CERT Polska zaleca jak najszybszą weryfikację wersji oprogramowania i aktualizację zgodnie z instrukcjami producenta dostępnymi na stronie Fortiguard.
Źródło: CERT Polska (moje.cert.pl) [PL] | HelpNetSecurity [EN]
UNC1069 (Korea Północna) atakuje maintainerów Node.js przez wielotygodniową socjotechnikę na LinkedIn i Slacku
HackRead opisuje raport firmy Socket ujawniający nową kampanię północnokoreańskiej grupy UNC1069 — tej samej, która stoi za niedawnym atakiem na bibliotekę axios. Tym razem hakerzy tworzą fałszywe profile na LinkedIn i Slacku, podszywając się pod rekruterów lub prowadzących podcasty, i cierpliwie przez wiele tygodni budują relację z maintainerami popularnych bibliotek Node.js (m.in. Mocha, Lodash, dotenv). W momencie umówionego spotkania ofiara otrzymuje link do fałszywej strony Teams lub Zoom, a podczas rozmowy proszą ją o „pobranie drobnej poprawki technicznej" — w rzeczywistości trojana zdalnego dostępu WAVESHAPER. Celem jest zdobycie dostępu do kont npm z uprawnieniami do publikowania, by wstrzyknąć złośliwy kod do oficjalnych aktualizacji i dotrzeć do milionów użytkowników downstream. Przypadki ataków potwierdzili twórcy Mocha, dotenv, Lodash i wielu innych projektów.
Źródło: HackRead [EN]
Zero-day w oprogramowaniu TrueConf był aktywnie eksploitowany w atakach na azjatyckie instytucje rządowe
SecurityWeek donosi o atakach na azjatyckie rządy z wykorzystaniem nieznansej wcześniej podatności (zero-day) w TrueConf — rosyjskim oprogramowaniu do wideokonferencji używanym w wielu azjatyckich administracjach rządowych. Luka pozwała atakującym na zdalne wykonanie kodu lub przejęcie sesji bez wiedzy ofiary. CISA dodała podatność w kliencie TrueConf do swojego katalogu Known Exploited Vulnerabilities (KEV), co oznacza potwierdzony dowód eksploitacji w środowisku naturalnym. Fakt, że zagrożone było oprogramowanie do wideokonferencji — narzędzie służące do wrażliwych komunikatów rządowych — sprawia, że atak jest szczególnie poważny z perspektywy wywiadu. Użytkownicy TrueConf w każdej konfiguracji powinni niezwłocznie zaktualizować oprogramowanie.
Źródło: SecurityWeek [EN]
2. INCYDENTY
LinkedIn potajemnie skanuje ponad 6000 rozszerzeń Chrome i zbiera dane o użytkownikach i firmach — sprawa „BrowserGate"
Telepolis opisuje raport organizacji Fairlinked zatytułowany „BrowserGate", który ujawnia, że LinkedIn używa ukrytego skryptu JavaScript do skanowania przeglądarek opartych na Chromium (Chrome, Edge, Brave, Opera) w poszukiwaniu zainstalowanych rozszerzeń — i zbiera te informacje bez wiedzy ani zgody użytkowników, łącząc je z imieniem, nazwiskiem i miejscem pracy. Liczba skanowanych rozszerzeń wzrosła z kilkudziesięciu do ponad 6000, przy czym gwałtowny skok nastąpił pod koniec 2023 roku — tuż po tym, gdy UE nakazała LinkedIn otwarcie na konkurencję. Skanowanie wykrywa nie tylko narzędzia biznesowe, ale też rozszerzenia ujawniające poglądy polityczne, wyznanie lub stan zdrowia. LinkedIn de facto mapuje w ten sposób, jakie narzędzia stosują całe firmy. Według Fairlinked jest to jawne naruszenie RODO, a polityka prywatności platformy w ogóle nie wspomina o tej praktyce. Użytkownicy nie mają możliwości jej wyłączenia.
Źródło: Telepolis [PL] | BleepingComputer [EN]
Fałszywe rozszerzenie Chrome podszywające się pod blokowanie reklam ChatGPT szpieguje użytkowników
HackRead informuje o wykryciu złośliwego rozszerzenia do Chrome, które podszywało się pod popularne narzędzie do blokowania reklam powiązane z ChatGPT. Rozszerzenie zbierało dane o przeglądaniu, historię wyszukiwań, dane sesji oraz informacje o zalogowanych kontach i przesyłało je na zewnętrzny serwer. Tego rodzaju fałszywe rozszerzenia są szczególnie niebezpieczne, bo użytkownicy na ogół darzą je większym zaufaniem niż zwykłe strony internetowe — instalując je, przyznają im szeroki dostęp do treści wszystkich odwiedzanych witryn. Google usunęło rozszerzenie po zgłoszeniu, ale nieznana liczba użytkowników mogła zostać skompromitowana zanim do tego doszło. Warto sprawdzać rozszerzenia wyłącznie od zweryfikowanych wydawców z dużą liczbą ocen i historią publikacji.
Źródło: HackRead [EN]
Nowa platforma phishingowa jako usługa specjalizuje się w atakach na kadrę kierowniczą i kradzieży poświadczeń korporacyjnych
SecurityBezTabu opisuje odkrycie nowej platformy PhaaS (Phishing-as-a-Service) wyspecjalizowanej nie w masowych atakach, lecz w precyzyjnym celowaniu w kadrę kierowniczą (CEO, CFO, CTO) dużych organizacji. Platforma oferuje gotowe szablony stron phishingowych imitujące portale logowania M365, Okta i Salesforce, zestaw narzędzi do zbierania poświadczeń w czasie rzeczywistym oraz mechanizmy omijania MFA oparte na przechwytywaniu tokenów. Ataki na kadrę kierowniczą są szczególnie wartościowe dla przestępców: skrzynki mailowe dyrektorów zawierają informacje o strategii firmy, przejęciach i negocjacjach, a dostęp do konta CFO może umożliwić inicjowanie przelewów na kwoty sięgające milionów dolarów. Platforma jest sprzedawana w modelu subskrypcyjnym na zamkniętych forach cyberprzestępczych.
Źródło: SecurityBezTabu [PL]
3. CIEKAWOSTKI
Kreml wymusza na Rosjanach korzystanie z komunikatora MAX, ale użytkownicy go nie chcą
Dobreprogramy opisują raport Reutersa na temat rosyjskiego komunikatora MAX — promowanego przez państwo jako „narodowy" zamiennik dla WhatsApp i Telegrama, produkowany przez VK (platformę, której szef jest synem doradcy Putina). MAX pozyskał 107 milionów użytkowników od uruchomienia, ale dzieje się to głównie poprzez przymus: portal państwowych usług Gosuslugi (rosyjski odpowiednik mObywatel) wymaga aktywacji przez MAX, co zmusza obywateli do zainstalowania aplikacji. Rozmówcy Reutersa deklarują, że używają MAX wyłącznie z konieczności i są niezadowoleni z wymuszania przesiadki. Aktywiści opozycyjni ostrzegają, że rosyjskie służby bezpieczeństwa mają pełny dostęp do danych z MAX i analizują je przy użyciu AI pod kątem zagrożeń dla państwa. Kampania jest częścią szerszego projektu „suwerennego internetu" izolującego Rosję od globalnej sieci.
Źródło: Dobreprogramy [PL]
Microsoft oznacza własne produkty AI ostrzeżeniem „tylko do celów rozrywkowych" — reakcja na ryzyko prawne
Dobreprogramy informują, że Microsoft zaczął dodawać do swoich produktów opartych na sztucznej inteligencji (w tym Copilot) zastrzeżenia, że generowane treści są przeznaczone „wyłącznie do celów rozrywkowych" i nie należy opierać na nich decyzji w ważnych sprawach. To bezprecedensowy ruch dużego dostawcy AI: de facto przyznanie, że własne narzędzia AI nie są godne zaufania w kontekście profesjonalnym lub decyzyjnym. Analitycy wskazują, że to przede wszystkim reakcja na rosnące ryzyko prawne — firmy w USA i UE zaczęły pozywać dostawców AI za szkody wyrządzone przez błędne odpowiedzi systemów. Zastrzeżenie jest zabezpieczeniem prawnym, ale stawia pod znakiem zapytania sensowność wdrażania tych narzędzi w procesach biznesowych, gdzie dokładność ma kluczowe znaczenie.
Źródło: Dobreprogramy [PL]
Ataki phishingowe „device code" wzrosły 37-krotnie wraz z pojawieniem się gotowych zestawów narzędzi
BleepingComputer informuje o dramatycznym wzroście liczby ataków opartych na metodzie „device code phishing" — technice, która przechwytuje tokeny uwierzytelniające zamiast haseł. Atak polega na nakłonieniu ofiary do wpisania kodu weryfikacyjnego (używanego normalnie do autoryzacji urządzeń bez przeglądarki, np. Smart TV) na kontrolowanej przez atakującego stronie — ofiara nieświadomie autoryzuje dostęp hakerów do swojego konta Microsoft 365, Google Workspace lub GitHub. Wzrost o 3700% jest efektem pojawienia się gotowych phishingowych zestawów narzędzi, które automatyzują cały proces i obniżają próg wejścia dla mniej zaawansowanych przestępców. Metoda ta jest szczególnie groźna, bo omija tradycyjne uwierzytelnianie wieloskładnikowe — ofiara sama zatwierdza dostęp atakującemu, nie zdając sobie z tego sprawy.
Źródło: BleepingComputer [EN]
4. OSZUSTWA, SCAMY, EXPLOITY
Fałszywe strony rekrutacyjne Coca-Cola i Ferrari kradną poświadczenia Google Workspace i Facebooka z omijaniem MFA
Malwarebytes opisuje dwie wyrafinowane kampanie phishingowe wykorzystujące rekordowe bezrobocie w USA (4,5% w końcu 2025) i szukających pracy. Pierwsza podszywa się pod stronę Calendly rekruterki Coca-Coli: po wypełnieniu formularza zgłoszeniowego ofiara widzi perfekcyjnie sfałszowane okno przeglądarki Chrome z adresem accounts.google.com — które jest jednak tylko grafiką na stronie. Co gorsze, kit co 3 sekundy pyta serwer atakującego o aktualny typ wyzwania 2FA (kod SMS, authenticator, prompt na telefon) i dynamicznie wyświetla odpowiedni ekran, relayując jednocześnie dane do prawdziwego Google — pełny bypass MFA w czasie rzeczywistym. Druga kampania podszywa się pod Ferrari: fałszywa strona kariery zawiera pop-up z zaproszeniem do aplikowania i przycisk „Zaloguj przez Facebook" prowadzący do strony phishingowej. Obie kampanie są sygnałem dla szukających pracy: żaden legalny proces rekrutacji nigdy nie wymaga logowania przez zewnętrzny link.
Źródło: Malwarebytes [EN]
Microsoft ostrzega przed kampanią phishingową opartą na plikach cookie i złośliwym PHP — przechwytywanie sesji bez znajomości hasła
CySecurity opisuje ostrzeżenie Microsoftu przed nową kampanią, w której atakujący kompromitują strony internetowe oparte na PHP i wstrzykują do nich złośliwy kod przechwytujący pliki cookie sesji odwiedzających. Skradzione ciasteczka pozwalają atakującym zalogować się do kont ofiar bez znajomości hasła ani konieczności przechodzenia przez MFA — przeglądarka dostaje prawidłowe cookie i akceptuje sesję. Jest to tzw. session hijacking, który jest szczególnie groźny dla kont poczty e-mail, paneli administracyjnych CMS i systemów chmurowych. Microsoft zaleca regularne sprawdzanie aktywnych sesji w swoich kontach i wylogowywanie wszystkich nieznanych urządzeń.
Źródło: CySecurity News [EN]
5. DEZINFORMACJA, CYBER WOJNA
Ośrodek Studiów Wschodnich rekomenduje Zachodowi przejście do ofensywnej wojny cybernetycznej i informacyjnej z Rosją
CyberDefence24 opisuje marcowy raport OSW pt. „Słabe punkty Rosji", w którym eksperci wprost rekomendują Zachodowi przejście od defensywy do aktywnej ofensywy w cyberprzestrzeni i wojnie informacyjnej. Raport zaleca m.in. ataki ofensywne na rosyjską infrastrukturę krytyczną i systemy bankowe, wsparcie dla ukraińskich operacji cybernetycznych wymierzonych w rosyjską administrację i przedsiębiorstwa państwowe, a także prowadzenie kampanii dezinformacyjnych mających podsycać wzajemną nieufność w obrębie elit Kremla. W sferze informacyjnej OSW proponuje eksponowanie korupcji elit, ujawnianie powiązań „dzieci Kremla" z zagranicą oraz kampanie skierowane do mieszkańców peryferyjnych regionów Rosji. Autorzy zastrzegają, że działania dezinformacyjne niosą ryzyko podważenia wiarygodności zachodnich mediów — ale oceniają, że potencjalne korzyści strategiczne przeważają.
Źródło: CyberDefence24 [PL]
Chińska TA416 wznawia kampanię szpiegowską wymierzoną w europejskie organizacje rządowe i dyplomatyczne
CySecurity opisuje nowe doniesienia o reaktywacji grupy TA416 (powiązanej z chińskim wywiadem, zwanej też Mustang Panda/RedDelta) i jej wzmożonej aktywności przeciw europejskim podmiotom. Kampania używa zaktualizowanych narzędzi i nowych wariantów backdoorów PlugX z ulepszoną techniką unikania wykrycia — pliki złośliwe są przemycane w archiwach ZIP imitujących dokumenty z bieżącymi wydarzeniami geopolitycznymi. Wśród celów znajdują się ministerstwa spraw zagranicznych, misje dyplomatyczne i organizacje badawcze zajmujące się polityką Azji i Pacyfiku. Ekspansja aktywności TA416 zbiegła się z nasileniem napięć wokół Tajwanu i sankcji technologicznych wymierzonych w Chiny przez UE i USA. Grupy APT powiązane z Pekinem tradycyjnie intensyfikują szpiegostwo w momentach, gdy zachodnia polityka staje się bardziej restrykcyjna wobec chińskich interesów.
Źródło: CySecurity News [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 5 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.