🔐 Cyber Security Daily News | 26.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
LiteLLM na PyPI zatruty przez TeamPCP — 97 milionów pobrań, kradzione klucze SSH i tokeny chmurowe
Tego samego ugrupowania, które zaatakowało Trivy i Aqua Security, tym razem padła ofiarą popularna biblioteka Pythona LiteLLM, z ponad 97 milionami pobrań. W dniu 24 marca na PyPI pojawiły się złośliwe wersje 1.82.7 i 1.82.8, zawierające kod uruchamiający się automatycznie przy każdym starcie interpretera Pythona — nawet bez jawnego importowania biblioteki. Złośliwy skrypt wykradał klucze SSH, zmienne środowiskowe z tokenami API, konfiguracje AWS/GCP/Azure/Kubernetes, hasła do baz danych, pliki portfeli kryptowalutowych oraz historię poleceń powłoki, pakując to wszystko w zaszyfrowane archiwum i wysyłając na serwer napastników. Paradoksalnie atak nie był idealny — błąd w kodzie powodował nieskończone pętle procesów Pythona, "wieszające" komputery i przyspieszające wykrycie. Złośliwe paczki usunięto po niespełna 3 godzinach. Jeśli masz zainstalowane wymienione wersje LiteLLM, pilnie sprawdź czy nie ma w site-packages pliku litellm_init.pth — i zrotuj wszelkie klucze i hasła z tej maszyny.
Źródło: Niebezpiecznik [PL] | Security Affairs [EN] | The Register [EN]
Apple wydaje aktualizacje bezpieczeństwa iOS 26.4 i macOS 26.4
Apple wypuściło aktualizacje iOS 26.4 i macOS 26.4 zawierające poprawki bezpieczeństwa. Najważniejsze z punktu widzenia użytkowników dotyczy platformy WebKit (silnik przeglądarki Safari), gdzie łatany jest błąd umożliwiający atakującemu wykonanie złośliwego kodu przez odwiedzenie spreparowanej strony internetowej. Aktualizacja zawiera też usprawnienia dla CarPlay — szczegóły opisują Instalki.pl. SecurityWeek podkreśla, że kilka z łatanych błędów jest aktywnie eksploitowanych przez atakujących, co oznacza, że to pilna aktualizacja i nie należy jej odkładać. Użytkownicy iPhone'a i Maca powinni zainstalować ją jak najszybciej przez Ustawienia → Ogólne → Uaktualnienia.
Źródło: SecurityWeek [EN] | Instalki.pl [PL]
Polska Strategia Cyberbezpieczeństwa RP: nowe uprawnienia dla służb i plany na lata 2026–2030
Rząd przyjął nową Strategię Cyberbezpieczeństwa RP na lata 2026–2030, która zakłada m.in. poszerzenie uprawnień służb bezpieczeństwa w zakresie reagowania na cyberincydenty. Dokument przewiduje m.in. możliwość aktywnej obrony — czyli podejmowania działań ofensywnych w cyberprzestrzeni w ramach odpowiedzi na ataki — co jest istotną zmianą jakościową wobec dotychczas wyłącznie defensywnego podejścia. Strategia kładzie też nacisk na wzmocnienie ochrony infrastruktury krytycznej, obowiązkowe szkolenia z cyberhigieny dla urzędników i zaostrzenie wymogów bezpieczeństwa dla dostawców usług IT dla administracji. Krytycy zwracają uwagę, że szersze uprawnienia dla służb wymagają szczególnej troski o mechanizmy kontroli i przejrzystości.
Źródło: CyberDefence24 [PL]
2. INCYDENTY
Urząd Miasta w Nowym Tomyślu przez pomyłkę opublikował w BIP dane osób podlegających kwalifikacji wojskowej
17 marca Urząd Miasta w Nowym Tomyślu przez 30 minut publicznie udostępnił w Biuletynie Informacji Publicznej plik zawierający listę osób podlegających kwalifikacji wojskowej wraz z ich numerami PESEL, adresami zamieszkania i datami urodzenia. Urząd zarejestrował zaledwie 3 wyświetlenia — prawdopodobnie 2 z nich pochodziły od pracowników, a 1 od dostawcy internetu — co sugeruje, że dane nie trafiły w niepowołane ręce. Incydent zgłoszono do UODO. Reakcja urzędu była szybka, niemniej sama sytuacja pokazuje, jak łatwo o nieumyślne ujawnienie wrażliwych danych wojskowych — dokładnie tych, które w połączeniu z trwającą kwalifikacją wojskową mogą mieć szczególne znaczenie dla bezpieczeństwa państwa. To kolejny w tym miesiącu przypadek danych osobowych Polaków w BIP-ie.
Źródło: CyberDefence24 [PL]
Cyberprzestępcy włamali się do bazy danych zawierającej anonimowe zgłoszenia przestępstw
Malwarebytes informuje o naruszeniu bazy danych platformy do anonimowego zgłaszania przestępstw, która w wielu krajach służy jako narzędzie dla świadków chcących poinformować policję bez ujawniania swojej tożsamości. Atakujący twierdzą, że mają dostęp do danych milionów użytkowników korzystających z tej usługi. Problem jest tu wyjątkowo poważny — anonimowość zgłaszającego jest gwarantem bezpieczeństwa informatorów, a jej naruszenie może zniechęcić świadków do współpracy z organami ścigania, a w skrajnych przypadkach narazić ich na odwet ze strony przestępców. Sprawa jest w toku dochodzenia, a szczegóły dotyczące skali naruszenia i jego weryfikacji są jeszcze ustalane.
Źródło: Malwarebytes [EN]
Phishing przez zainfekowane repozytoria GitHub — kampania Ghost z 7 pakietami npm
The Hacker News opisuje kampanię „Ghost", w której przestępcy opublikowali 7 złośliwych pakietów npm na oficjalnym rejestrze npm. Pakiety podszywały się pod popularne narzędzia deweloperskie i po zainstalowaniu kradły tokeny uwierzytelniające do GitHub, GitLab i Bitbucket — czyli dostęp do repozytoriów kodu. Dzięki temu atakujący mogli następnie modyfikować repozytoria ofiar, wstrzykując złośliwy kod do projektów, które mogą być używane przez setki innych deweloperów lub firm. To typowy atak wielopoziomowy: infekujesz developera, dostajesz dostęp do jego projektów, a przez projekty — do użytkowników końcowych. Kampania Ghost jest przykładem rosnącej profesjonalizacji ataków na ecosystem open source.
Źródło: The Hacker News [EN]
3. CIEKAWOSTKI
Konta AI (ChatGPT, Claude, Gemini) stają się wartościowym towarem na czarnym rynku
BleepingComputer opisuje rosnący rynek handlu płatnymi kontami dostępu do usług AI w sieci darkweb i zamkniętych kanałach Telegramu. Konta ChatGPT Plus, Claude Pro i Gemini Advanced — kupione przez skradzione karty płatnicze lub przejęte phishingiem — są odsprzedawane ze znaczną zniżką wobec ceny detalicznej. Dlaczego przestępcy cenią te konta? Przede wszystkim dlatego, że płatne modele AI mają mniej restrykcji niż darmowe warianty, co ułatwia generowanie złośliwych treści, przygotowywanie phishingu w wielu językach i tworzenie exploitów. Płatne konto to też sposób na ominięcie limitów zapytań przy masowych operacjach. Raport jest sygnałem, że ekosystem AI staje się coraz bardziej integralną częścią infrastruktury cyberprzestępczości.
Źródło: BleepingComputer [EN]
Nowy infostealer Torg Grabber celuje w 728 portfeli kryptowalutowych jednocześnie
BleepingComputer opisuje nowego infostealera o nazwie Torg Grabber, który wyróżnia się wyjątkowo szerokim zasięgiem — atakuje dane ze 728 rodzajów portfeli kryptowalutowych, rozszerzeń przeglądarkowych do zarządzania kryptowalutami, giełd i narzędzi DeFi. Dla porównania: większość znanych stealerów obsługuje kilkadziesiąt do kilkuset portfeli. Torg jest sprzedawany na forach cyberprzestępczych w modelu MaaS (Malware-as-a-Service), co oznacza, że nie trzeba być technicznym ekspertem, by go wdrożyć — wystarczy zapłacić subskrypcję. Malware kradnie też dane logowania z przeglądarek, pliki cookie i dane autouzupełniania. Wzrost liczby specjalistycznych krypto-stealerów koreluje z rosnącymi cenami kryptowalut i coraz powszechniejszym ich posiadaniem.
Źródło: BleepingComputer [EN]
4. OSZUSTWA, SCAMY, EXPLOITY
Kampania phishingowa z fałszywymi zgłoszeniami naruszenia praw autorskich dystrybuuje malware
CERT Polska ostrzega przed nową falą wiadomości e-mail, w których cyberprzestępcy podszywają się pod agencje marketingowe i prawne, oskarżając odbiorcę o „naruszenie praw autorskich". W treści wiadomości umieszczony jest link do rzekomych dowodów — po jego kliknięciu pobierany jest złośliwy plik. Uruchomienie go instaluje infostealera, który kradnie dane logowania, hasła i inne wrażliwe informacje zapisane w przeglądarce. Schemat ten jest szczególnie skuteczny wobec firm, gdzie pracownicy mogą się przestraszyć konsekwencji prawnych i kliknąć bez zastanowienia. Zawsze sprawdzaj adres nadawcy, weryfikuj firmę innym kanałem i uważaj na presję czasową — to klasyczne techniki socjotechniczne. Podejrzane pliki możesz sprawdzić na VirusTotal przed uruchomieniem.
Źródło: CERT Polska [PL]
Kampania phishingowa podszywająca się pod Krajową Administrację Skarbową i Ministerstwo Finansów — ostrzeżenie w sezonie PIT
Pełnomocnik Rządu ds. Cyberbezpieczeństwa, wicepremier Krzysztof Gawkowski, wydał ostrzeżenie przed aktywną kampanią phishingową wykorzystującą wizerunek KAS i Ministerstwa Finansów. Przestępcy wysyłają fałszywe wiadomości e-mail lub SMS informujące o rzekomej notyfikacji w systemie podatkowym — link w treści prowadzi nie do e-Urzędu Skarbowego, lecz na spreparowaną stronę logowania do Profilu Zaufanego. Wpisane dane trafiają prosto do rąk oszustów. Kampania jest szczególnie aktywna teraz, gdy Polacy rozliczają PIT za 2025 rok i wdrażany jest Krajowy System e-Faktur. Zawsze loguj się do e-Urzędu Skarbowego wpisując adres samodzielnie w przeglądarce — nigdy przez linki z wiadomości. W razie wątpliwości zadzwoń na infolinię KAS.
Źródło: CyberDefence24 [PL]
Platforma Bubble AI do tworzenia aplikacji webowych wykorzystana do phishingu kradnącego konta Microsoft
BleepingComputer opisuje kampanię, w której atakujący wykorzystują legalną platformę no-code Bubble.io do budowania stron wyłudzających dane logowania do kont Microsoft. Bubble pozwala tworzyć zaawansowane aplikacje webowe bez znajomości programowania — co czyni ją atrakcyjnym narzędziem zarówno dla startupów, jak i przestępców. Strony phishingowe zbudowane na Bubble wyglądają profesjonalnie, mają certyfikat SSL i domenę korzystającą z renomowanego cloud providera, co sprawia że filtry antyspamowe i antywirusowe mają problem z ich wykryciem. Cel to przede wszystkim środowiska Microsoft 365 w firmach. To kolejny przykład trendu polegającego na nadużywaniu legalnej infrastruktury cloud — do phishingu używano już wcześniej m.in. Microsoft Azure, Google Sites i Canva.
Źródło: BleepingComputer [EN]
5. DEZINFORMACJA, CYBER WOJNA
Północnokoreańscy pracownicy IT zarobili miliardy dla reżimu, infiltrując zachodnie firmy przez zdalne etaty
CRN.pl opisuje rozbudowany schemat, w którym tysiące obywateli Korei Północnej podszywało się pod wykwalifikowanych programistów i uzyskiwało zatrudnienie w firmach z USA, Europy i Japonii jako zdalny personel IT. Według raportów wywiadowczych samo przedsięwzięcie wygenerowało setki milionów dolarów rocznie, finansując bezpośrednio program nuklearny i rakietowy reżimu Kima. Pracownicy używali VPN, pośredników i fałszywych tożsamości — nierzadko wyposażeni w przejęte dokumenty tożsamości prawdziwych zachodnich programistów. Poza pieniędzmi schemat dawał też dostęp do wrażliwych systemów i kodu źródłowego firm. Trzech uczestników schematu zostało już skazanych przez sądy USA — ale skala zjawiska wskazuje, że setki podobnych przypadków mogą jeszcze nie zostać wykryte.
Źródło: CRN.pl [PL]
Iran-powiązane grupy haktywistów eskalują działania w cyberprzestrzeni — raport o wpływie na przebieg konfliktu
Dark Reading publikuje analizę wpływu proirańskich grup haktywistycznych na militarny i informacyjny wymiar trwającego konfliktu. Badacze dokumentują bezprecedensową koordynację między irańskimi grupami APT a luźno powiązanymi haktywistami, którzy — choć oficjalnie działają niezależnie — realizują cele zbieżne z interesami Teheranu: sabotaż infrastruktury, kradzież danych wywiadowczych i kampanie dezinformacyjne. Szczególnie aktywna jest grupa Handala, której ataki wpisują się w szerszą strategię Iran odpowiedzi na działania USA i Izraela. Raport ostrzega, że model "hacktivism-as-cover" — gdzie państwowe operacje są przeprowadzane pod szyldem haktywistów — staje się standardowym narzędziem nowoczesnej cyberwojny, bo utrudnia atrybucję i odpowiedź dyplomatyczną.
Źródło: Dark Reading [EN]
Rosyjscy żołnierze skarżą się przez Telegram na chaos informacyjny i dezinformację z własnego dowództwa
CySecurity News opisuje interesujące zjawisko: rosyjscy żołnierze w aktywnych strefach działań coraz częściej przez zamknięte grupy na Telegramie skarżą się na sprzeczne i chaotyczne informacje od własnego dowództwa, brak rzetelnych danych o sytuacji na froncie i dezinformację przepływającą przez oficjalne kanały wojskowe. Zjawisko jest analizowane przez zachodnich badaczy jako objaw poważnych problemów z koordynacją rosyjskich sił zbrojnych i efektem "fog of war" potęgowanego przez wewnętrzną propagandę. Jest też cennym źródłem OSINT — otwarta komunikacja żołnierzy dostarcza wywiadowi przeciwnika informacji, których Rosja wolałaby nie ujawniać. To zjawisko przypomina przypadek z aplikacją Strava i lotniskowcem Charles de Gaulle: żołnierze w strefie konfliktu i ich narzędzia komunikacji stanowią poważne ryzyko OPSEC.
Źródło: CySecurity News [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 25 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.