🔐 Cyber Security Daily News | 24.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
TeamPCP i wiper CanisterWorm: ta sama grupa, która zaatakowała Trivy, uderzyła teraz w Iran
Cyberprzestępcza grupa TeamPCP — odpowiedzialna za ubiegłotygodniowy atak supply chain na skaner Trivy od Aqua Security — w miniony weekend wdrożyła nowy wariant swojego malware, tym razem jako broń wymierzoną bezpośrednio w irańskie systemy. Worm o nazwie CanisterWorm sprawdza strefę czasową i język urządzenia: jeśli wykryje ustawienia odpowiadające Iranowi i dostęp do klastra Kubernetes, kasuje dane na wszystkich węzłach w klastrze. Bez Kubernetes niszczy tylko lokalny dysk. Co wyróżnia tę infrastrukturę, to fakt, że opiera się na zdecentralizowanym systemie ICP (Internet Computer Protocol) — tzw. kanistrach, które są odporne na przejęcie przez organy ścigania dopóki ich operatorzy opłacają ich utrzymanie. Analitycy Aikido Security podkreślają, że CanisterWorm nieustannie zmieniał swoją funkcjonalność — czasem serwował malware, czasem wskazywał na filmik z YouTube. Sam TeamPCP chwali się w Telegramie dostępem do danych dużych firm, w tym jednego z gigantów farmaceutycznych.
Źródło: Krebs on Security [EN] | BleepingComputer [EN]
Atak na Trivy rozszerzył się — zainfekowane repozytoria Docker i GitHub, 44 projekty Aqua Security
Skala ataku na łańcuch dostaw Trivy okazała się znacznie większa, niż początkowo sądzono. Oprócz samego skanera bezpieczeństwa kontenerów, atakujący wykorzystali zdobyty dostęp do oficjalnych repozytoriów GitHub i Docker Hub Aqua Security — łącznie zniekształcono co najmniej 44 repozytoria. Złośliwe wersje narzędzi kradły klucze SSH, tokeny Kubernetes, klucze chmurowe (AWS, Azure) oraz portfele kryptowalutowe ze środowisk, które uruchamiały zainfekowane pipeline'y CI/CD. Aqua Security potwierdziło usunięcie szkodliwych plików, lecz jak wskazują badacze z Wiz, złośliwe wersje były aktywnie pobierane przez użytkowników przez pewien czas. To już drugi poważny incydent supply chain z udziałem Trivy w ciągu niespełna dwóch miesięcy — wcześniej projekt został uderzony przez zautomatyzowany atak HackerBot-Claw.
Źródło: BleepingComputer [EN] | Security Affairs [EN] | Infosecurity Magazine [EN]
CISA nakazuje federalnym agencjom USA pilne łatanie exploitów DarkSword na iOS
Amerykańska agencja CISA wydała nakaz skierowany do agencji federalnych, zobowiązując je do natychmiastowego zainstalowania aktualizacji zamykających podatności iOS eksploatowane przez łańcuch DarkSword. Podatności z zestawu DarkSword — kombinacji sześciu luk w iOS i Safari — były aktywnie używane w ukierunkowanych atakach przez zarówno komercyjnych dostawców spyware, jak i aktorów powiązanych z państwami. Luki dotyczą iOS 18.4–18.7. Apple wydało stosowne łatki, a włączenie ich do katalogu KEV nakłada na agendy federalne obowiązek wdrożenia poprawek w określonym, krótkim terminie. Dla zwykłych użytkowników przekaz jest prosty: zaktualizuj iPhone'a do najnowszego iOS natychmiast, jeśli jeszcze tego nie zrobiłeś.
Źródło: BleepingComputer [EN]
2. INCYDENTY
Crunchyroll bada doniesienia o wycieku danych 68 milionów użytkowników
Crunchyroll — jeden z największych serwisów streamingowych anime na świecie z ponad 100 milionami zarejestrowanych użytkowników — prowadzi dochodzenie po tym, jak haker na forum cyberprzestępczym ogłosił sprzedaż bazy danych zawierającej rzekomo dane 68 milionów kont. Dane mają obejmować adresy e-mail, nazwy użytkownika i zahaszowane hasła. Crunchyroll nie potwierdziło ani nie zaprzeczyło naruszeniu, ale firma zapowiedziała aktywne badanie incydentu. Jeśli jesteś użytkownikiem platformy, warto zmienić hasło — zwłaszcza jeśli używasz tego samego hasła w innych serwisach. To wyjątkowo zły nawyk, który naruszenia takie jak to mogą bardzo boleśnie ukarać w formie ataków credential stuffing na inne Twoje konta.
Źródło: BleepingComputer [EN]
Cyberatak na dostawcę blokad alkoholowych unieruchomił tysiące samochodów w 46 stanach USA
14 marca Intoxalock — firma dostarczająca samochodowe blokady alkoholowe — padła ofiarą cyberataku, który pozbawił tysiące kierowców możliwości uruchomienia swoich pojazdów w aż 46 stanach USA. Blokady alkoholowe to urządzenia montowane w autach na mocy sądowego nakazu dla osób skazanych za jazdę po alkoholu — przed zapłonem wymagają dmuchnięcia w ustnik. Nowoczesne urządzenia tego typu wymagają jednak periodycznej zdalnej kalibracji przez internet — gdy infrastruktura producenta padła, sprzęty przeszły w tryb awaryjny i odcięły zapłon, niezależnie od trzeźwości kierowcy. Osoby objęte nakazem sądowym nie mogą legalnie prowadzić innego auta ani zdemontować urządzenia bez zgody sądu — atak więc dosłownie uwięził ich w domach. Incydent jest podręcznikowym przykładem ryzyka polegania na urządzeniach krytycznych (z punktu widzenia prawa i codziennego funkcjonowania) wymagających ciągłego połączenia z infrastrukturą chmurową producenta.
Źródło: Niebezpiecznik [PL]
Cyberataki na polskie szpitale — opublikowano zalecenia dla sektora ochrony zdrowia
W odpowiedzi na wzrost liczby ataków ransomware i cyberataków na polskie placówki medyczne, CyberDefence24 opisuje nowe zalecenia skierowane do sektora ochrony zdrowia. Sektor medyczny jest szczególnie atrakcyjnym celem: przechowuje wrażliwe dane pacjentów, działa na starym sprzęcie i oprogramowaniu, a jego pracownicy mają ograniczoną świadomość zagrożeń — jednocześnie przerwy w działaniu systemów mogą dosłownie kosztować ludzkie życie. Zalecenia obejmują m.in. segmentację sieci szpitalnych, regularny backup danych offline, szkolenia personelu z rozpoznawania phishingu, wdrożenie MFA oraz plan reagowania na incydenty. Warto odnotować, że polskie szpitale w ostatnich tygodniach były atakowane już kilkukrotnie — w marcu br. ransomware unieruchomił sieć szpitali na kilka dni.
Źródło: CyberDefence24 [PL]
3. CIEKAWOSTKI
Nowe malware na Androida (Perseus) automatycznie przeszukuje aplikacje notatnikowe w poszukiwaniu haseł
Badacze bezpieczeństwa opisują nowe zagrożenie na Androida nazwane Perseus — ewolucję znanych trojanów bankowych, która celuje tam, gdzie użytkownicy czują się najbardziej bezpiecznie, czyli we własnych notatkach. Malware używa uprawnień dostępności systemu Android (Accessibility Services) do autonomicznego przeszukiwania popularnych aplikacji do notatek: Google Keep, Samsung Notes, Evernote, Microsoft OneNote, Xiaomi Notes i innych. Szuka tam tego, co użytkownicy przechowują „na wszelki wypadek": haseł, kodów PIN, fraz seed do portfeli kryptowalutowych. Perseus może wykonywać zrzuty ekranu, symulować dotknięcia i ukrywać aktywność za czarną nakładką — działa w pełni automatycznie, bez ręcznego sterowania przez przestępcę. Najczęściej ukrywa się w aplikacjach IPTV pobieranych spoza oficjalnego Sklepu Play. Wniosek jest prosty: hasła i kody trzymaj w menadżerze haseł, a nie w notatkach, bez względu na to, jak wygodne wydaje się to rozwiązanie.
Źródło: Instalki.pl [PL]
Poczta Polska inwestuje blisko 5 milionów złotych w system wykrywania zaawansowanych zagrożeń
Poczta Polska ogłosiła przetarg na wdrożenie systemu klasy anty-APT (Advanced Persistent Threats) wartego blisko 5 milionów złotych. System ma służyć do wykrywania i neutralizowania zaawansowanych ataków ukierunkowanych — takich, które celowo omijają tradycyjne narzędzia bezpieczeństwa i ukrywają się w sieci przez długi czas. Inwestycja jest o tyle znamienna, że przez lata Poczta Polska nie należała do liderów cyfryzacji — ich sprzęt był na tyle przestarzały, że stanowił powód do anegdot w branży IT. Fakt, że operator realizuje teraz poważne inwestycje w zaawansowane cyberbezpieczeństwo, pokazuje, jak szybko wzrosła świadomość zagrożeń w polskich instytucjach. Dobrze, bo Poczta przetwarza ogromne ilości danych klientów i obsługuje m.in. systemy e-Doręczeń.
Źródło: CRN.pl [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
Nowe oszustwo z kodem QR na Otomoto: fałszywy konsultant z asystentem AI wyłudza dane do bankowości
CERT Orange Polska ostrzega przed nową wariacją oszustwa skierowaną do sprzedających na serwisach ogłoszeniowych. Schemat zaczyna się od wiadomości w panelu Otomoto, po której następuje telefon od rzekomego konsultanta serwisu. Ten informuje o „nowym systemie weryfikacji klienta" i prosi o wejście w kod QR. Nowością jest użycie asystenta głosowego AI, który instruuje ofiarę krok po kroku — co sprawia, że cały proces wygląda jeszcze bardziej profesjonalnie i trudno go zidentyfikować jako próbę oszustwa. W rzeczywistości ofiara trafia na podstawioną stronę banku i oddaje dane logowania. Jeden ze zgłaszających zauważył próbę wypłaty 900 zł z bankomatu przez BLIK, co uratowało go przed stratą. Schemat działa nie tylko na Otomoto — podobne ataki pojawiają się na OLX i innych platformach sprzedażowych. Legalna platforma nigdy nie prosi sprzedającego o kod QR w celu „weryfikacji".
Źródło: Dobreprogramy [PL]
Sekurak: nowa kampania phishingowa skierowana w posiadaczy portfeli sprzętowych Trezor i Ledger
Sekurak opisuje aktywną kampanię phishingową precyzyjnie wymierzoną w właścicieli fizycznych portfeli kryptowalutowych Trezor i Ledger. Ofiary otrzymują wiadomości — e-mailowe lub SMS — informujące o rzekomych problemach z bezpieczeństwem portfela, wymagających pilnej weryfikacji. Link prowadzi do spreparowanych stron łudząco podobnych do oficjalnych witryn producentów, gdzie ofiara jest proszona o podanie frazy seed (12–24 słów odzysku). Ktokolwiek zna frazę seed, ma pełny dostęp do portfela i wszystkich zgromadzonych w nim kryptowalut — bez jakiejkolwiek możliwości cofnięcia transakcji. Kluczowa zasada: fraza seed nigdy, pod żadnym pozorem, nie jest potrzebna na żadnej stronie internetowej. Producenci Trezor i Ledger nigdy nie proszą o jej podanie przez e-mail ani na stronie WWW — to zawsze próba kradzieży.
Źródło: Sekurak [PL]
CERT Polska: fałszywe sklepy internetowe podszywają się pod znane marki w reklamach na platformach społecznościowych
CERT Polska opublikował ostrzeżenie przed nasilającą się kampanią fałszywych sklepów internetowych, które w mediach społecznościowych — głównie na Facebooku i Instagramie — wyświetlają reklamy kradnące wizerunek znanych marek odzieżowych, sportowych i elektronicznych. Strony są skrupulatnie przygotowane: kopiują logotypy, opisy i zdjęcia produktów z oryginalnych sklepów, ale prowadzą wyłącznie do wyłudzenia danych kart płatniczych. Szczególnie aktywne są w okresach wyprzedaży lub zmiany kolekcji, gdy konsumenci są bardziej skłonni do zakupów. Przed zakupem warto sprawdzić adres URL (fałszywe sklepy często mają dziwne domeny), poszukać recenzji sklepu samodzielnie w Google zamiast klikać w reklamę, oraz zweryfikować dane firmy w KRS lub na listach ostrzegawczych. Podejrzane strony można zgłaszać przez incydent.cert.pl lub aplikację mObywatel.
Źródło: CERT Polska [PL]
5. DEZINFORMACJA, CYBER WOJNA
FBI ostrzega: irańska Handala używa Telegrama jako centrum dowodzenia w atakach malware
FBI opublikowało nowe ostrzeżenie dotyczące irańskiej grupy Handala — tej samej, której strony internetowe agencja zajęła tydzień temu. Tym razem chodzi o konkretny wektor ataku: Handala aktywnie używa Telegrama jako platformy C2 (command and control) do dystrybuowania złośliwego oprogramowania i koordynowania ataków na oponentów irańskiego reżimu w diasporze oraz na cele w Izraelu i na Zachodzie. Kanały na Telegramie pozwalają grupie komunikować się z zainfekowanymi systemami bez konieczności utrzymywania własnej infrastruktury serwerowej — która jest podatna na zajęcie przez służby, co właśnie im przytrafiło. FBI zaleca szczególną ostrożność wobec podejrzanych linków rozsyłanych przez Telegram, zwłaszcza wśród osób z irańskim backgroundem lub zajmujących się tematyką Bliskiego Wschodu.
Źródło: BleepingComputer [EN] | CyberScoop [EN]
Powiązana z Iranem Nasir Security atakuje sektor energetyczny na Bliskim Wschodzie
Resecurity i Security Affairs opisują aktywną kampanię grupy Nasir Security — organizacji powiązanej z irańskim reżimem — której celem są firmy energetyczne z regionu Zatoki Perskiej, w tym Arabia Saudyjska, ZEA i Kuwejt. Ataki skupiają się na infrastrukturze ropy i gazu, stacjach energetycznych i sieciach dystrybucji. Celem nie jest wyłącznie szpiegostwo — grupy powiązane z Iranem w ostatnich miesiącach coraz chętniej wdrażają komponenty destrukcyjne (wipery) zamiast tradycyjnego ransomware, co sygnalizuje eskalację z operacji wywiadowczych do działań sabotażowych. Kampania wpisuje się w szerszy wzorzec irańskich odpowiedzi na działania militarne USA i Izraela. Zakłócenie dostaw ropy i gazu w regionie Zatoki miałoby natychmiastowe, globalne skutki gospodarcze.
Źródło: Security Affairs [EN] | Resecurity [EN]
Raport wywiadu USA (DNI): AI i cyberbezpieczeństwo w centrum globalnej rywalizacji
CyberDefence24 przybliża najnowszy raport Dyrektora Wywiadu Narodowego USA (DNI), będący jedną z najważniejszych corocznych ocen zagrożeń dla bezpieczeństwa narodowego. W tegorocznej edycji po raz pierwszy AI i cyberprzestrzeń zajmują centralną pozycję obok tradycyjnych zagrożeń militarnych — to sygnał, jak bardzo geopolityczna rywalizacja przeniosła się do domeny technologicznej. Raport wskazuje Chiny, Rosję i Iran jako główne państwowe zagrożenia cybernetyczne dla USA i ich sojuszników, podkreślając, że Chiny są jedynym krajem dysponującym zarówno zamiarem, jak i zdolnościami do przejęcia nad USA globalnej technologicznej przewagi. Dokument jest ważnym kontekstem dla wszystkich decyzji dotyczących polityki cyberbezpieczeństwa podejmowanych przez zachodnie rządy w nadchodzących miesiącach.
Źródło: CyberDefence24 [PL]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 23 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.