🔐 Cyber Security Daily News | 15.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
Grupa ShinyHunters twierdzi, że ukradła 1 petabajt danych z Telus Digital
Kanadyjski gigant telekomunikacyjny Telus potwierdził naruszenie bezpieczeństwa swojej spółki zależnej Telus Digital, świadczącej usługi obsługi klienta dla firm na całym świecie. Za atakiem stoi niesławna grupa ShinyHunters, która twierdzi, że wyniosła co najmniej 700 terabajtów danych — inne szacunki mówią nawet o pełnym petabajcie, co odpowiada mniej więcej milionowi pełnometrażowych filmów HD. Wśród skradzionych materiałów mają znajdować się nagrania rozmów z klientami, kod źródłowy oprogramowania firmy oraz dane pracownicze, łącznie z wynikami federalnych sprawdzeń przeszłości. ShinyHunters to dobrze znana siatka — w samym 2025 i 2026 roku przypisuje jej się włamania do blisko 40 firm, w tym GAP, Qantas, Odido i SoundCloud. Telus zapewnia, że operacje biznesowe działają normalnie i nie odnotowano przerw w świadczeniu usług, a poszkodowani klienci są powiadamiani.
Źródło: Hackread [EN]
GlassWorm wraca: kolejne 72 złośliwe rozszerzenia VS Code w rejestrze Open VSX
Kampania GlassWorm, która od października 2025 roku zatruwa ekosystem rozszerzeń dla Visual Studio Code, rozwinęła nową, bardziej przebiegłą taktykę. Badacze firmy Socket odkryli od 31 stycznia 2026 roku co najmniej 72 kolejne złośliwe rozszerzenia w rejestrze Open VSX, tym razem ukryte pod pozorem narzędzi AI, linterów i debuggerów. Nowość polega na tym, że atakujący najpierw publikują niewinne na pozór rozszerzenie, a następnie aktualizują je tak, by automatycznie pobierało złośliwy pakiet jako zależność — mechanizm identyczny z tym, jak działa atak przez fałszywe zależności npm. GlassWorm kradnie sekrety deweloperów i tokeny kryptowalut, a zainfekowane maszyny używa jako proxy do dalszych działań. Szczegółowa analiza Aikido Labs wykazała, że commity maskujące złośliwy kod są generowane przez duże modele językowe — są stylistycznie spójne z oryginalnym projektem, co bardzo utrudnia wykrycie. W toku jest też powiązana kampania w 151 repozytoriach GitHub i dwóch pakietach npm.
Źródło: The Hacker News [EN]
Meta wycofuje szyfrowanie end-to-end na Instagramie — co to oznacza dla prywatności?
Meta ogłosiła, że zamierza wycofać funkcję szyfrowania end-to-end (E2EE) z wiadomości bezpośrednich na Instagramie. Decyzja wywołała falę komentarzy wśród ekspertów ds. prywatności: szyfrowanie E2EE oznacza, że nikt poza nadawcą i odbiorcą — w tym sama Meta — nie może odczytać treści wiadomości. Po wyłączeniu tej funkcji rozmowy będą dostępne dla platformy, a co za tym idzie — również potencjalnie dla organów ścigania na żądanie sądowe. Warto pamiętać, że WhatsApp, który należy do Meta, wciąż oferuje E2EE domyślnie. Krytycy wskazują, że ten ruch może być podyktowany presją regulacyjną lub chęcią głębszej analizy danych w celach reklamowych. Dla użytkowników chcących zachować prywatne rozmowy zaleca się korzystanie z alternatywnych komunikatorów oferujących E2EE — takich jak Signal.
Źródło: CySecurity News [EN]
2. INCYDENTY
Appsflyer SDK użyte do dystrybucji złośliwego kodu kradnącego kryptowaluty
Badacze bezpieczeństwa odkryli, że popularny SDK firmy AppsFlyer — narzędzie używane przez tysiące aplikacji mobilnych do analityki i atrybucji marketingowej — zostało w ograniczonym zakresie nadużyte do rozpowszechniania złośliwego kodu JavaScript wykradającego kryptowaluty. Atak dotknął aplikacje webowe korzystające z wariantu WebSDK. Złośliwy ładunek był sprytnie ukryty w skrypcie inicjalizacyjnym i pobierał dodatkowe komponenty z zewnętrznych serwerów. AppsFlyer to narzędzie wyjątkowo dobrze zakorzenione w ekosystemie mobilnym — jest obecne w setkach tysięcy aplikacji, co czyni takie ataki łańcucha dostaw szczególnie dotkliwymi. Incydent pokazuje, że atakujący coraz częściej celują w narzędzia deweloperskie i marketing-tech, a nie bezpośrednio w aplikacje końcowe. AppsFlyer poinformował o incydencie i wdrożył poprawki.
Źródło: BleepingComputer [EN]
FBI poszukuje ofiar złośliwego oprogramowania dystrybuowanego przez gry na platformie Steam
Federalne Biuro Śledcze zwróciło się do opinii publicznej z apelem o zgłaszanie się potencjalnych ofiar kampanii złośliwego oprogramowania, które było ukryte w grach dostępnych na platformie Steam. Twórcy złośliwych tytułów — lub sprawcy, którzy przejęli konta deweloperów — wprowadzali do gier infektory kradnące dane logowania, pliki cookie przeglądarek i zawartość portfeli kryptowalutowych. Steam to platforma z ponad 130 milionami aktywnych kont, co czyni ją atrakcyjnym celem dla dystrybucji malware pod przykrywką legalnego oprogramowania. FBI zbiera dane w celu oceny skali kampanii i identyfikacji sprawców. Użytkownicy, którzy w ostatnim czasie pobrali niezwykle tanie lub darmowe gry od nieznanych deweloperów, powinni sprawdzić swoje systemy pod kątem infekcji.
Źródło: BleepingComputer [EN]
CISA ujawnia szczegóły złośliwego oprogramowania RESURGE atakującego urządzenia Ivanti
Agencja CISA opublikowała szczegółowe informacje dotyczące nowego złośliwego oprogramowania o nazwie RESURGE, które aktywnie eksploatuje podatność zero-day w urządzeniach Ivanti — rozwiązaniach do zarządzania dostępem zdalnym szeroko stosowanych w środowiskach korporacyjnych. RESURGE to zaawansowany implant pozwalający atakującym na utrzymanie trwałego dostępu do zainfekowanych systemów, omijanie uwierzytelniania i zbieranie danych uwierzytelniających. CISA wzywa organizacje używające Ivanti do natychmiastowego zaaplikowania dostępnych łatek i przeglądu logów pod kątem śladów infekcji. Urządzenia Ivanti były już wielokrotnie w centrum ataków w ostatnich latach — tym razem skala eksploatacji wydaje się jeszcze szersza. Dostępne są wskaźniki kompromitacji (IoC), które powinny być zaimportowane do systemów SIEM i EDR.
Źródło: CySecurity News [EN]
3. CIEKAWOSTKI
Błędna identyfikacja przez AI sprawiła, że niewinną kobietę trzymano miesiącami w areszcie
W stanie Tennessee doszło do poruszającego przypadku: 50-letnia kobieta opiekująca się dziećmi w domu została zatrzymana pod bronią przez funkcjonariuszy, przewieziona samolotem ponad 1900 km i osadzona w areszcie na podstawie wskazania systemu AI do rozpoznawania twarzy. System błędnie zidentyfikował ją jako osobę podejrzaną o realizację oszustw finansowych z użyciem sfałszowanego dokumentu tożsamości. Kobieta spędziła kilka miesięcy w areszcie, nim ktokolwiek zadał sobie trud weryfikacji — okazało się, że ma alibi i nigdy w życiu nie była w Dakocie Północnej, gdzie rzekomo dokonano przestępstwa. W między czasie straciła dom, samochód i psa. Sprawa trafiła do mediów za pośrednictwem The Guardian i lokalnej prasy z Fargo. Policja nie zapłaciła nawet za jej bilet powrotny. To kolejny poważny przypadek wskazujący, że bezkrytyczne poleganie na systemach AI w działaniach organów ścigania może prowadzić do dramatycznych, nieodwracalnych skutków dla niewinnych osób.
Źródło: Sekurak [PL]
Inteligentne okulary Meta: producent przyznał, że zbierały dane bez wiedzy użytkowników
Pozew zbiorowy złożony w USA ujawnił, że inteligentne okulary Meta (Ray-Ban Meta Glasses) zbierały dane bez wyraźnej zgody użytkowników — mimo wcześniejszych zapewnień firmy o poszanowaniu prywatności. Zgodnie z dokumentami procesowymi, okulary rejestrowały znacznie więcej danych o otoczeniu użytkownika, niż wynikało z polityki prywatności i materiałów marketingowych produktu. Meta przyznała rację skarżącym w kwestii niektórych zarzutów. Sprawa ilustruje rosnący problem z urządzeniami wearables z funkcjami AI: granica między „inteligentnym asystentem" a „urządzeniem nadzoru" bywa cienka i nieprzypadkowo trudna do uchwycenia dla przeciętnego konsumenta.
Źródło: Futurism [EN]
4. OSZUSTWA, SCAMY, EXPLOITY
Fałszywe alerty o odnowieniu subskrypcji Malwarebytes trafiają do kalendarzy użytkowników
Nowa kampania scamowa celuje w użytkowników poprzez... ich kalendarze systemowe. Ofiary otrzymują automatycznie dodawane do kalendarza fałszywe przypomnienia o „odnowieniu subskrypcji Malwarebytes", zawierające linki do złośliwych stron. Atak jest o tyle sprytny, że kalendarze (Google Calendar, Apple Calendar, Outlook) domyślnie akceptują zaproszenia od zewnętrznych nadawców, a powiadomienie wygląda jak legalne przypomnienie. Kliknięcie w link prowadzi do fałszywych stron podszywających się pod Malwarebytes lub płatności online, gdzie ofiara jest proszona o dane karty płatniczej lub instalację „narzędzia do oczyszczania". Firma Malwarebytes nigdy nie wysyła przypomnień o odnowieniu przez zaproszenia do kalendarza. Zaleca się wyłączenie automatycznego dodawania zaproszeń w ustawieniach kalendarza.
Źródło: Malwarebytes Blog [EN]
Fałszywy airdrop kryptowaluty $Temu używa triku ClickFix do instalacji malware
Kampania wykryta przez Malwarebytes wykorzystuje spreparowaną stronę udającą akcję dystrybucji kryptowaluty $TEMU (fikcyjny „token Temu"), by nakłonić ofiary do samodzielnego uruchomienia złośliwego kodu. Mechanizm działania to tzw. ClickFix: strona wyświetla komunikat o rzekomym błędzie i prosi o wklejenie polecenia do terminala/wiersza poleceń. Po wykonaniu — instalowany jest backdoor zdalnego dostępu. Sztuczka jest efektywna, bo ofiara sama wykonuje złośliwy kod, co omija wiele systemów ochrony. Kampania celuje w użytkowników interesujących się kryptowalutami i śledzących „darmowe tokeny". Żadna akcja airdrop $TEMU nie istnieje — jest to w całości fikcja stworzona na potrzeby ataku.
Źródło: Malwarebytes Blog [EN]
Włoski dziennikarz zhakowany oprogramowaniem szpiegowskim Paragon — potwierdzenie prokuratury
Włoska prokuratura potwierdziła, że dziennikarz śledczy padł ofiarą inwigilacji z użyciem komercyjnego oprogramowania szpiegowskiego firmy Paragon. Paragon to producent narzędzi inwigilacyjnych rzekomo sprzedawanych wyłącznie legalnym służbom rządowym — jednak podobnie jak przy wcześniejszych przypadkach związanych z Pegasusem firmy NSO Group, sprzęt trafił do celów, których trudno określić jako standardowych „przestępców". Sprawa wpisuje się w rosnący problem komercyjnych spyware'ów używanych do śledzenia dziennikarzy, aktywistów i polityków. Paragon twierdzi, że przeprowadził dochodzenie i zakończył kontrakt z klientem odpowiedzialnym za nadużycie. Sprawa wywołała dyskusję o konieczności silniejszych regulacji rynku komercyjnych narzędzi inwigilacyjnych na poziomie Unii Europejskiej.
Źródło: TechCrunch [EN]
5. DEZINFORMACJA, CYBER WOJNA
Akta Epsteina i AI: fałszywe zdjęcia znanych polityków zaczynają żyć własnym życiem
Przy okazji stopniowego ujawniania akt Jeffreya Epsteina przez Departament Sprawiedliwości USA w sieci zaczęły krążyć zdjęcia przedstawiające Billa Clintona, Stephena Hawkinga i Donalda Trumpa w skompromitujących sytuacjach — podpisywane jako „fotografie z akt". Jak wykazała redakcja CyberDefence24 oraz fact-checkerzy ze Snopes, wszystkie obrazy są fałszywe — zostały wygenerowane przez AI, w tym narzędzie Grok należące do Elona Muska. Autor oryginalnych obrazów twierdził, że publikował je wyłącznie w grupach dedykowanych treściom AI, jednak szybko wyrwały się z tego kontekstu. Co szczególnie niepokojące: sam Grok zapytany o autentyczność jednego ze zdjęć odpowiedział, że jest ono prawdziwe. To kolejny przykład, jak chaos informacyjny wokół prawdziwych skandali może być amplifikowany przez AI, i jak modele językowe same mogą stawać się wektorem dezinformacji, potwierdzając fałszywe treści, które same wygenerowały.
Źródło: CyberDefence24 [PL]
Irański ekosystem kryptowalutowy zagrożony wojną — jak kryptowaluty stały się narzędziem omijania sankcji
Iran zbudował jeden z najbardziej nieoczekiwanych kryptowalutowych ekosystemów świata: przy cenie energii wynoszącej zaledwie ok. 0,5 centa za kWh kraj zlegalizował przemysłowe kopanie bitcoina i korzystał z niego jako z narzędzia do omijania międzynarodowych sankcji finansowych. Szacuje się, że w kraju działa ok. 700 tysięcy urządzeń do wydobywania krypto, pobierając nawet 2 GW mocy z sieci, a cały rynek kryptowalutowy przekroczył w 2025 roku 7,7 mld dolarów. Największa lokalna giełda Nobitex przetworzyła ponad 2 mld dol. w stablecoinach USDT. Jednak trwający konflikt zbrojny i ataki na infrastrukturę energetyczną stanowią teraz poważne zagrożenie dla tego systemu: farmy kryptowalutowe są szczególnie wrażliwe na przerwy w dostawach prądu. Ewentualne ograniczenie kopania w Iranie nie zachwieje globalnym rynkiem bitcoin, ale może uderzyć w sam Iran i miliony obywateli, którzy w krypto chronili oszczędności przed inflacją (kurs riala przekroczył 1,3 mln za dolara).
Źródło: Benchmark.pl [PL]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 14 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.