🔐 Cyber Security Daily News | 06.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
Szef CERT Polska o atakach na Polskę: UNC1151 i APT28 najaktywniejszymi zagrożeniami, ransomware kilka razy w tygodniu
WNP.pl opublikowało obszerny wywiad z Marcinem Dudkiem, kierownikiem CERT Polska. Najważniejsze ustalenia: w 2025 roku CERT Polska zarejestrował ponad 260 tys. incydentów, z czego aż 97,3% to oszustwa socjotechniczne (phishing, telefony). Włamania stanowią mniej niż 1%. Ataki ransomware na urzędy i szpitale zdarzają się kilka razy w tygodniu — najczęstszym wektorem są nieaktualizowane urządzenia brzegowe VPN i wykradzione poświadczenia. Grupy APT regularnie atakujące Polskę to przede wszystkim UNC1151 (związana z operacją Ghostwriter) — kilka–kilkanaście incydentów tygodniowo — i APT28 (rosyjski wywiad wojskowy GRU), szczególnie aktywny wobec podmiotów wojskowych. Szef CERT alarmuje też o nowym wektorze: firmy z łańcucha dostaw, takie jak małe spółki logistyczne wspierające transport na Ukrainę, stają się celami operacji wywiadowczych państw.
Źródło: WNP.pl [PL]
36 złośliwych pakietów npm udających wtyczki Strapi instalowało implanty w bazach Redis i PostgreSQL
The Hacker News opisuje odkrycie 36 złośliwych pakietów npm podszywających się pod wtyczki Strapi CMS. Wszystkie były publikowane przez cztery fałszywe konta przez 13 godzin i zawierały złośliwy kod w hooku postinstall — uruchamianym automatycznie przy każdej instalacji, bez interakcji użytkownika. Payloady ewoluowały: od eskalacji przez Redis (wstrzyknięcie crontaba pobierającego webshella) przez ucieczkę z kontenera Docker, po zaawansowane zbieranie poświadczeń z baz Redis i PostgreSQL. Finalne wersje instalowały trwały implant z zaszytym hostnamen „prod-strapi" — co sugeruje ukierunkowany atak na konkretną platformę kryptowalutową. Badacze SafeDep wskazują, że za podobnymi atakami stoi ta sama infrastruktura co za atakiem na axios — prawdopodobnie UNC1069 z Korei Północnej.
Źródło: The Hacker News [EN]
Port w Vigo przerywa działalność po cyberataku — jeden z największych portów w Europie dotknięty incydentem
CySecurity opisuje cyberatak na port w Vigo w Hiszpanii — jeden z największych portów rybackich na świecie i ważny węzeł handlowy. Atak spowodował zakłócenia w systemach operacyjnych portu, wymuszając tymczasowe zawieszenie działalności. Szczegóły atakujących i zakres uszkodzeń nie zostały oficjalnie ujawnione, ale zakłócenia funkcjonowania portów morskich mają bezpośredni wpływ na łańcuchy dostaw i eksport. Incydent wpisuje się w nasilający się trend ataków na infrastrukturę logistyczną i transportową — portom coraz częściej grożą zarówno grupy ransomware, jak i aktorzy państwowi zainteresowani wywiadem ekonomicznym i sabotażem.
Źródło: CySecurity News [EN]
2. INCYDENTY
Złośliwe oprogramowanie NoVoice ukryte w obrazku PNG dotknęło 2,3 mln pobrań z Google Play
Dobreprogramy opisują raport McAfee ujawniający kampanię NoVoice: blisko 50 aplikacji na Androida (galerie, czyszczarki, gry) zawierało złośliwy kod ukryty w pliku PNG, pobrany łącznie 2,3 mln razy z Google Play. Malware nie żądało podejrzanych uprawnień, co utrudniało wykrycie. Po uruchomieniu exploitowało stare podatności Androida z lat 2016–2021, próbując zdobyć dostęp do roota — i jeśli mu się to udało, wstrzykiwało kod do każdej uruchamianej aplikacji i instalowało się na partycji systemowej, przeżywając przywrócenie ustawień fabrycznych. Głównym celem był WhatsApp: malware wykradało klucze szyfrowania, bazy danych i identyfikatory konta, pozwalając potencjalnie na sklonowanie sesji. Kod zawierał wyłączenia dla rejonów Pekinu i Shenzhen. Aplikacje zostały usunięte po zgłoszeniu McAfee.
Źródło: Dobreprogramy [PL]
BleepingComputer: hakerzy używali fałszywego komunikatu o błędzie Teams, by przejąć konto maintenera axios
BleepingComputer opisuje kulisy włamania na konto npm maintenera axios. Atakujący z grupy UNC1069 nawiązali kontakt na LinkedIn, podszywając się pod rekrutera, i zaprosili na spotkanie przez „Teams". Podczas rozmowy pojawił się fałszywy komunikat o błędzie technicznym z instrukcją pobrania „poprawki" — w rzeczywistości trojana zdalnego dostępu WAVESHAPER.V2. Po przejęciu dostępu do komputera maintenera hakerzy użyli długoterminowego tokenu npm do ręcznej publikacji złośliwych wersji, omijając zabezpieczenia Trusted Publisher oparte na GitHub Actions. To pokazuje, że nawet solidne techniczne zabezpieczenia CI/CD są bezsilne, gdy atakujący uzyska fizyczny dostęp do maszyny z tokenami — główne ryzyko wciąż leży po stronie czynnika ludzkiego.
Źródło: BleepingComputer [EN]
Steganografia w ataku: złośliwy kod przemycony w plikach obrazkowych trafia do milionów użytkowników
Security Affairs opisuje technikę przemycania malware w plikach graficznych (steganografia), którą badacze zidentyfikowali w aktywnych kampaniach. Złośliwy kod jest zakodowany w pikselach obrazów JPEG lub PNG — pliki wyglądają normalnie, działają jako grafiki, ale zawierają ukryty payload uruchamiany przez towarzyszącą aplikację. Technika skutecznie omija część systemów antywirusowych skanujących pliki wyłącznie według typów MIME i rozszerzeń. Metoda nie jest nowa, ale jej ponowne pojawienie się w aktywnych kampaniach (takich jak NoVoice) wskazuje, że atakujący ponownie sięgają po starsze, sprawdzone techniki ukrywania złośliwego oprogramowania — bo systemy obrony często koncentrują się na najnowszych wektorach.
Źródło: Security Affairs [EN]
3. CIEKAWOSTKI
Infosecurity24: AI zmienia profil oficera operacyjnego — służby specjalne muszą zatrudniać inaczej
Infosecurity24.pl opisuje analizę zmian w profilach rekrutacyjnych zachodnich służb wywiadowczych wywołanych przez AI. Tradycyjny „oficer operacyjny" musiał przede wszystkim opanować umiejętności budowania relacji, rekrutacji i zarządzania informatorami. Dziś coraz więcej agencji szuka kandydatów łączących kompetencje HUMINT z umiejętnością analizy danych i korzystania z narzędzi AI — do masowej analizy otwartych źródeł (OSINT), automatycznej klasyfikacji zagrożeń i identyfikacji wzorców w ogromnych zbiorach danych. Zmiana ta ma konsekwencje bezpośrednie: stare techniki dezinformacyjne mogą być weryfikowane szybciej przez AI, ale ta sama AI może być też użyta do generowania syntetycznej dezinformacji na skalę niemożliwą wcześniej do osiągnięcia.
Źródło: Infosecurity24.pl [PL]
Asystenci AI i stare regulacje: europejskie prawo nie nadąża za cyklem wydawniczym narzędzi AI
CyberDefence24 analizuje przepaść między tempem wdrożeń asystentów AI a dostosowaniem europejskich ram prawnych. Nowe narzędzia AI są wypuszczane co kilka tygodni, podczas gdy cykl legislacyjny trwa lata — nawet AI Act będzie w pełni stosowany dopiero od 2027 roku. Tymczasem asystenci AI przetwarzają dane osobowe, udzielają porad medycznych, prawnych i finansowych, a zasady odpowiedzialności za błędne odpowiedzi pozostają niejasne. Artykuł wskazuje na konkretne luki: brak obowiązku informowania użytkownika o tym, że rozmawia z AI, niejasne zasady przechowywania konwersacji i brak unijnych standardów audytu modeli AI w sektorach wysokiego ryzyka.
Źródło: CyberDefence24 [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
Automatyczna kampania kradzieży poświadczeń przez podatność React2Shell — tysiące środowisk narażonych
BleepingComputer opisuje zautomatyzowaną kampanię eksploatującą podatność React2Shell w popularnych frameworkach React. Atakujący masowo skanują internet w poszukiwaniu podatnych instancji i automatycznie wdrażają skrypty wykradające zmienne środowiskowe (w tym klucze API, tokeny OAuth i poświadczenia baz danych) z kontenerów i środowisk CI/CD. Skala ataku jest wyjątkowo duża ze względu na automatyzację: jednocześnie skanowane są dziesiątki tysięcy potencjalnych celów. Firmy korzystające z React w środowiskach produkcyjnych powinny pilnie sprawdzić wersje bibliotek i zastosować dostępne łatki.
Źródło: BleepingComputer [EN]
Quantum computing jako zagrożenie dla szyfrowania: kiedy komputery kwantowe złamią obecne zabezpieczenia?
CySecurity omawia rosnące obawy środowisk kryptograficznych dotyczące harmonogramu, w którym komputery kwantowe staną się wystarczająco wydajne, by złamać szeroko stosowane algorytmy RSA i ECC (elliptic curve cryptography). Szacunki ekspertów wahają się od 5 do 15 lat, ale kluczowym problemem jest strategia „harvest now, decrypt later": atakujący (w tym służby państwowe) już dziś zbierają zaszyfrowane dane komunikacji, planując odszyfrowanie ich w przyszłości. Artykuł opisuje postępy NIST w standaryzacji algorytmów post-kwantowych (ML-KEM, ML-DSA) i wskazuje, że organizacje przechowujące długoterminowo wrażliwe dane (dane medyczne, tajemnice handlowe, informacje wywiadowcze) powinny już teraz planować migrację do kryptografii post-kwantowej.
Źródło: CySecurity News [EN]
5. DEZINFORMACJA, CYBER WOJNA
GPS spoofing jako narzędzie wojny elektronicznej w rejonie Zatoki Perskiej — lotnictwo i żegluga zakłócone
CySecurity opisuje eskalację ataków GPS spoofing w rejonie Zatoki Perskiej i Morza Śródziemnego — techniki, w której nadajniki naziemne transmitują fałszywe sygnały GPS, dezorientując systemy nawigacyjne statków i samolotów. Zjawisko nie jest nowe, ale jego skala i precyzja dramatycznie wzrosły w kontekście konfliktu bliskowschodniego. Piloci i nawigatorzy zgłaszają, że ich systemy pokazują pozycje oddalone o kilkadziesiąt, a czasem kilkaset kilometrów od rzeczywistych. Poza ryzykiem kolizji spoofing ma wartość wywiadowczą: pozwala śledzić wzorce ruchu cywilnego i wojskowego oraz identyfikować wrażliwe trasy. NATO i ICAO wydają coraz częstsze ostrzeżenia dla przewoźników operujących na tych trasach.
Źródło: CySecurity News [EN]
Holenderski sąd nakazuje X (dawny Twitter) i Telegram usunięcie treści — precedens dla platform w UE
CySecurity opisuje orzeczenie holenderskiego sądu, który nakazał X (dawny Twitter) i Telegramowi usunięcie konkretnych treści naruszających prawo i zobowiązał platformy do zapobiegania ich ponownemu pojawieniu się. Wyrok jest istotnym precedensem w kontekście europejskiego Digital Services Act (DSA): sąd uznał, że pasywna moderacja treści jest niewystarczająca i platformy muszą aktywnie uniemożliwiać dystrybucję bezprawnych materiałów. X i Telegram od lat są oskarżane o tolerowanie dezinformacji, treści propagandowych i materiałów ekstremistycznych. Niewykonanie wyroku grozi wysokimi karami finansowymi — to test tego, czy europejskie regulacje mają realne zęby wobec globalnych platform.
Źródło: CySecurity News [EN]
Szpiegostwo cybernetyczne w Azji Południowo-Wschodniej: chińskie grupy APT uderzają w rząd i telekomunikację
Palo Alto Unit 42 opisuje długoterminową kampanię szpiegowską wymierzoną w instytucje rządowe i firmy telekomunikacyjne w Azji Południowo-Wschodniej. Powiązane z Chinami grupy APT stosowały niestandardowe implanty, spędzając miesiące w zainfekowanych sieciach bez wykrycia. Podstawowym celem była kradzież danych wywiadowczych — struktury organizacyjnej rządów, planów infrastruktury krytycznej, danych dyplomatycznych. Kampania korzystała z zestawu kilku złośliwych narzędzi budujących wielowarstwową trwałość — nawet po usunięciu jednego implantu pozostałe zapewniały ciągły dostęp. Raport podkreśla, że tego rodzaju długoterminowe kampanię szpiegowskie są trudne do wykrycia bez zaawansowanego monitoringu behawioralnego sieci i regularnych threat-huntingów.
Źródło: Palo Alto Unit 42 [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 05 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.