🔐 Cyber Security Daily News | 09.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
CERT Polska publikuje raport roczny za 2025 rok — 30 lat organizacji i ponad 260 tys. incydentów
CERT Polska opublikował swój raport roczny z działalności w 2025 roku, przy okazji świętując 30-lecie istnienia zespołu. Dokument omawia kampanie oszustw, aktywność grup APT wymierzonych w Polskę, trendy w złośliwym oprogramowaniu mobilnym i ransomware, a także najważniejsze podatności roku. W 2025 roku CERT obsłużył ponad 260 tys. incydentów — z czego aż 97,3% to oszustwa socjotechniczne: phishing i fałszywe połączenia telefoniczne. Roczny raport to jedno z najważniejszych źródeł wiedzy o stanie polskiej cyberprzestrzeni — zawiera liczby, wykresy i szczegółowe opisy zarówno dla technicznych specjalistów, jak i szerszych odbiorców. Raport jest dostępny w formacie PDF do bezpłatnego pobrania.
Źródło: CERT Polska [PL]
Polski kontrwywiad uczestniczył w skoordynowanej operacji przeciwko szpiegowskiej kampanii rosyjskiego GRU
CyberDefence24 informuje, że Służba Kontrwywiadu Wojskowego RP wzięła udział w skoordynowanej operacji zakłócenia kampanii szpiegowskiej APT28 (Fancy Bear) powiązanej z rosyjskim wywiadem wojskowym GRU. Operacja prowadzona była wspólnie z FBI, SBU Ukrainy, organami ścigania UE oraz służbami Niemiec. Rosyjscy hakerzy przejmowali routery TP-Link w instytucjach publicznych, u żołnierzy i pracowników przemysłu zbrojeniowego — modyfikując ich ustawienia DNS, by przechwytywać tokeny uwierzytelniające Microsoft. Polska udokumentowała swój udział w obaleniu tej infrastruktury szpiegowskiej, co jest ważnym sygnałem rosnących kompetencji polskiego kontrwywiadu w cyberprzestrzeni. SecurityWeek i Infosecurity Magazine potwierdzają, że operacja objęła neutralizację dziesiątek węzłów tej sieci w kilku krajach jednocześnie.
Źródło: CyberDefence24 [PL] | SecurityWeek [EN] | Infosecurity Magazine [EN]
CBZC rozbiło sieć oszustów BEC — 13 zatrzymanych, straty liczone w milionach
CyberDefence24 i CRN.pl informują o zatrzymaniu przez Centralne Biuro Zwalczania Cyberprzestępczości 13 osób powiązanych z działalnością przestępczą typu BEC (Business Email Compromise). Oszustwa BEC polegają na podszywaniu się pod kontrahentów lub zarząd firm i manipulowaniu pracownikami działu finansowego tak, by przelali pieniądze na konto przestępców — zamiast do prawdziwego odbiorcy. W świetle raportu IC3 FBI, BEC jest drugą najkosztowniejszą kategorią cyberprzestępczości na świecie (3 mld dolarów strat w 2025 roku). Rozbite ugrupowanie działało zawodowo — miało sprecyzowany podział ról, skrypty rozmów i rozbudowaną sieć kont bankowych do prania pieniędzy. To jeden z największych sukcesów CBZC w ostatnich miesiącach.
Źródło: CyberDefence24 [PL] | CRN.pl [PL]
Project Glasswing: Anthropic i partnerzy uruchamiają projekt AI do automatycznego wyszukiwania podatności w oprogramowaniu open source
Infosecurity Magazine i Security Affairs opisują uruchomienie Project Glasswing — inicjatywy Anthropic i grupy czołowych firm technologicznych, która używa modeli Claude do automatycznego skanowania oprogramowania open source pod kątem podatności bezpieczeństwa, zanim hakerzy je znajdą. System analizuje kod w wielu językach programowania, identyfikuje potencjalnie niebezpieczne wzorce i generuje raporty dla maintainerów projektów. Projekt wpisuje się w trend defensywnego zastosowania AI w cyberbezpieczeństwie — analogia do „szczepionki": AI szuka słabości w oprogramowaniu, by można je było usunąć przed eksploatacją. To ważna zmiana w filozofii bezpieczeństwa open source, gdzie do tej pory luki były często znajdowane przez badaczy z zewnątrz lub — gorzej — przez przestępców.
Źródło: Infosecurity Magazine [EN] | Security Affairs [EN]
2. INCYDENTY
Ransomware wyłącza holenderskiego dostawcę oprogramowania dla ochrony zdrowia Chipsoft — systemy szpitalne niedostępne
The Register informuje o ataku ransomware na Chipsoft — holenderską firmę dostarczającą systemy informatyczne dla ochrony zdrowia, z których korzystają setki szpitali i klinik w Niderlandach i Belgii. Atak spowodował niedostępność serwerów firmy, co przełożyło się na ograniczoną funkcjonalność systemów medycznych w obsługiwanych placówkach. Chipsoft jest twórcą HiX — jednego z najpopularniejszych systemów elektronicznej dokumentacji medycznej w Beneluksie. Incydent po raz kolejny pokazuje, że atakowanie dostawców oprogramowania medycznego to skuteczna strategia — jeden atak dotyka dziesiątek placówek jednocześnie. Firma pracuje nad przywróceniem systemów.
Źródło: The Register [EN]
Szpital w Massachusetts przekierowuje karetki pogotowia po cyberataku — chorzy kierowani do innych placówek
SecurityWeek donosi o poważnym incydencie w szpitalu w stanie Massachusetts, który po cyberataku zmuszony był do przekierowania karetek pogotowia do innych placówek. Atak zakłócił systemy informatyczne szpitala w stopniu uniemożliwiającym przyjmowanie pacjentów nagłych w normalnym trybie — to jeden z najbardziej bezpośrednich, zagrażających życiu skutków cyberprzestępczości. Incydent wpisuje się w alarmujący wzorzec: sektor ochrony zdrowia był atakowany ransomware w każdym z 16 sektorów infrastruktury krytycznej USA w 2025 roku. Szczegóły dotyczące sprawcy i żądań okrupu nie zostały jeszcze ujawnione.
Źródło: SecurityWeek [EN]
Poważna awaria rosyjskich aplikacji bankowych i płatności w metrze w całym kraju
Security Affairs donosi o rozległej awarii, która przez kilka godzin sparaliżowała aplikacje bankowe i systemy płatnicze w całej Rosji, uniemożliwiając klientom korzystanie z kart, wypłaty z bankomatów i dostęp do bankowości mobilnej. Awaria dotknęła też systemy płatności za metro w dużych miastach. Nie potwierdzono jeszcze, czy była to awaria techniczna czy celowy atak — Rosja przeżywała już wcześniej zakłócenia systemów finansowych powiązane z cyberwojną. Incydent ujawnia, jak bardzo rosyjskie społeczeństwo jest uzależnione od cyfrowej infrastruktury płatniczej — i jak wrażliwa jest ta infrastruktura na zakłócenia, niezależnie od ich przyczyny.
Źródło: Security Affairs [EN]
Awaria infrastruktury IT Uniwersytetu im. Adama Mickiewicza w Poznaniu — nie był to atak hakerski
CRN.pl informuje o poważnej awarii systemów informatycznych UAM w Poznaniu, która przez kilka dni uniemożliwiała dostęp do portalu uczelni, systemu ocen, poczty pracowniczej i systemu księgowego. Rektor prof. Bogumiła Kaniewska wykluczyła atak hakerski — przyczyną miało być przepięcie w sieci elektroenergetycznej, które uszkodziło urządzenia w głównej serwerowni uczelni. Przypadek pokazuje, że zagrożenia dla ciągłości działania systemów IT w instytucjach publicznych niekoniecznie mają charakter złośliwy — fizyczna infrastruktura i redundancja zasilania są równie ważne jak cyberbezpieczeństwo. Przez ponad tydzień od awarii systemy wciąż nie zostały w pełni przywrócone.
Źródło: CRN.pl [PL]
3. CIEKAWOSTKI
Korea Północna rozsywa 1700 złośliwych pakietów w npm, PyPI, Go i Rust — rekordowa operacja zatrucia łańcucha dostaw
The Hacker News informuje o rekordowej operacji grup powiązanych z Koreą Północną: odkryto 1700 złośliwych pakietów rozsianych w repozytoriach npm, PyPI, Go i Rust, działających jako droppery i narzędzia do kradzieży kryptowalut. Liczba 1700 pakietów przekracza wszystko, co do tej pory obserwowano w ramach jednej skoordynowanej kampanii supply chain. Pakiety były starannie nazwane tak, by imitować popularne biblioteki (typosquatting) lub podszywać się pod pomocnicze narzędzia do projektów kryptowalutowych. Operacja nakłada się na inne działania DPRK w tym samym czasie — ataki na maintainerów Node.js przez UNC1069 i kradzież 285 mln dolarów z Drift. Wskazuje to na bezprecedensową skalę i koordynację północnokoreańskich operacji cyberprzestępczych w pierwszym kwartale 2026 roku.
Źródło: The Hacker News [EN]
CBZC i pułapki mody: jak wyglądają nowoczesne metody utrzymywania dostępu w Active Directory
Sekurak opisuje mniej oczywiste techniki utrzymywania dostępu (persistence) w środowiskach Active Directory, stosowane przez zaawansowane grupy APT i cyberprzestępców po przejęciu sieci. Artykuł omawia m.in. modyfikacje domyślnych szablonów certyfikatów ADCS (Active Directory Certificate Services), nadużycia mechanizmu Kerberoasting dla serwisowych kont, manipulację SID History i backdoory w politykach grupowych. Te techniki są groźne, bo często nie generują alertów w standardowych systemach SIEM i pozostają niezauważone przez miesiące. To lektura obowiązkowa dla administratorów Windows — świadomość tych metod jest pierwszym krokiem do ich wykrycia i usunięcia.
Źródło: Sekurak [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
Kampania phishingowa w Polsce podszywa się pod Skarbnicę Narodową, używając wizerunku byłych prezydentów RP
Techno-Senior alarmuje o aktywnej kampanii phishingowej, w której oszuści podszywają się pod Skarbnicę Narodową — firmę numizmatyczną — i używają sfabrykowanych zdjęć byłych prezydentów RP (Lecha Wałęsy, Aleksandra Kwaśniewskiego) jako rzekomych „ambasadorów" oferowanych produktów inwestycyjnych. Fałszywe reklamy krążą w mediach społecznościowych i prowadzą do stron zbierających dane osobowe i płatnicze. To kolejna w serii polskich kampanii opierających się na autorytecie znanych osób publicznych — mechanizm jest ten sam co w przypadku platform kryptowalutowych z wizerunkami celebrytów. Skarbnica Narodowa nie jest powiązana z tą kampanią — jest ofiarą podszywania się, podobnie jak wspomniani politycy.
Źródło: Techno-Senior [PL]
Krytyczna luka w wtyczce Ninja Forms dla WordPressa aktywnie eksploatowana — 50 000 stron zagrożonych
Kapitan Hack i BleepingComputer opisują krytyczną podatność w Ninja Forms — jednej z najpopularniejszych wtyczek do tworzenia formularzy w WordPressie (instalowanej na ponad milionie stron). Luka pozwala nieautoryzowanemu atakującemu na eskalację uprawnień lub wykonanie kodu po stronie serwera. Według badaczy podatność jest już aktywnie eksploatowana w środowiskach produkcyjnych — hakerzy skanują internet w poszukiwaniu podatnych wersji. Administratorzy stron WordPress korzystający z Ninja Forms powinni natychmiast zaktualizować wtyczkę do najnowszej wersji. Luki w wtyczkach WordPress są szczególnie niebezpieczne ze względu na ogromną liczbę potencjalnych celów — WordPress napędza ok. 40% wszystkich stron internetowych.
Źródło: Kapitan Hack [PL] | BleepingComputer [EN]
SMS o „wymaganej aktualizacji karty SIM" to oszustwo — przestroga przed nową falą smishingu
Instalki.pl ostrzega przed nasileniem fali SMS-ów informujących o konieczności pilnej „aktualizacji karty SIM" z linkiem prowadzącym do fałszywej strony operatora. Wiadomości straszą dezaktywacją karty lub utratą numeracji, by skłonić odbiorcę do kliknięcia — strona zbiera dane do logowania do bankowości lub prosi o podanie numeru karty płatniczej pod pretekstem „weryfikacji tożsamości". Operatorzy telekomunikacyjni nigdy nie proszą o aktualizację karty SIM przez SMS z linkiem — jedynym sposobem wymiany karty SIM jest osobista wizyta w salonie z dowodem tożsamości. Każdy taki SMS należy zignorować i zgłosić do CERT Polska przez formularz na moje.cert.pl.
Źródło: Instalki.pl [PL]
5. DEZINFORMACJA, CYBER WOJNA
Korea Północna buduje armię fałszywych zdalnych programistów — raport Group-IB ujawnia skalę operacji
Group-IB publikuje raport o operacji północnokoreańskiej, w której obywatele KRLD zakładają fałszywe tożsamości (w tym skradzione dokumenty, syntetyczne twarze i sfabrykowane profile LinkedIn) i podejmują legalne zatrudnienie jako zdalni programiści w firmach zachodnich. Celem jest nie tylko zarabianie walut obcych dla reżimu i obchodzenie sankcji, ale też zdobywanie długoterminowego dostępu do repozytoriów kodu, systemów chmurowych i wewnętrznych sieci firmowych. Operacja DPRK Fake Remote Developers obejmuje tysiące pracowników funkcjonujących w zachodnich firmach IT przez miesiące lub lata. Rekruterzy i działy HR powinni zwracać uwagę na nieprawidłowości w dokumentacji, wymagania dotyczące pracy wyłącznie przez VPN oraz odmowę połączeń wideo.
Źródło: Group-IB [EN]
Kampania ClickFix łączy złośliwe pakiety Node.js, sieć Tor i kradzież kryptowalut w nowym wektorze ataku
HackRead opisuje nową kampanię łączącą technikę ClickFix (nakłanianie do wklejenia polecenia w terminal) z instalacją złośliwego kodu Node.js komunikującego się przez sieć Tor. Anonimowość Tora utrudnia zarówno blokowanie komunikacji z serwerem C2, jak i śledzenie przepływu skradzionych środków z portfeli kryptowalutowych. Kampania celuje w programistów i deweloperów kryptowalutowych przez fałszywe repozytoria GitHub z instrukcjami wymagającymi „uruchomienia skryptu konfiguracyjnego" — co w rzeczywistości instaluje malware. Połączenie ClickFix + Node.js + Tor to nowe, niepokojące zestawienie technik — wszystkie trzy komponenty są trudne do wykrycia przez standardowe narzędzia bezpieczeństwa korporacyjnego.
Źródło: HackRead [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 9 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.