🔐 Cyber Security Daily News | 28.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
Ministerstwo Cyfryzacji ostrzega przed phishingiem na Profil Zaufany w sezonie rozliczeń PIT
Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa wydał ostrzeżenie przed nasileniem kampanii phishingowych wykorzystujących trwający sezon podatkowy i wdrożenie Krajowego Systemu e-Faktur. Przestępcy rozsyłają wiadomości e-mail i SMS podszywające się pod Ministerstwo Finansów oraz Krajową Administrację Skarbową, informując o rzekomych nowych notyfikacjach lub problemach z KSeF. Linki prowadzą do fałszywych formularzy logowania do Profilu Zaufanego. Konsekwencje przejęcia konta są poważne — Profil Zaufany w oczach państwa ma wagę odręcznego podpisu i dowodu osobistego, a dostęp do niego daje możliwość rejestracji firmy w CEIDG, wyłudzania dotacji, udziału w karuzelach VAT, dostępu do Internetowego Konta Pacjenta oraz zaciągania zobowiązań finansowych. W razie podejrzenia incydentu należy natychmiast zgłosić sprawę przez incydent.cert.pl lub aplikację mObywatel.
Źródło: Dobreprogramy [PL]
TeamPCP zaatakował infrastrukturę dostawcy usług VoIP Telnyx przez skompromitowany pakiet PyPI
HelpNetSecurity i Infosecurity Magazine informują, że grupa TeamPCP — ta sama, która zaatakowała Trivy i wdrożyła wipera CanisterWorm — kontynuuje aktywność, tym razem uderzając w Telnyx, dostawcę usług komunikacyjnych VoIP i API. Atakujący opublikowali złośliwy pakiet w repozytorium PyPI, który instalował backdoor w środowiskach deweloperskich pobierających paczkę. Telnyx obsługuje tysiące firm integrujących funkcje SMS, głosu i weryfikacji dwuetapowej — kompromitacja jego infrastruktury mogłaby oznaczać dostęp do kluczy API klientów i przechwycenie kodów jednorazowych. To kolejny dowód, że TeamPCP celowo atakuje dostawców usług technologicznych, maksymalizując zasięg przez pojedyncze naruszenie łańcucha dostaw.
Źródło: HelpNetSecurity [EN] | Infosecurity Magazine [EN]
Krytyczne podatności w routerach TP-Link — firma wydała pilne aktualizacje
TP-Link opublikował łatki bezpieczeństwa zamykające kilka podatności o wysokim priorytecie w popularnych routerach domowych i firmowych. Luki mogą pozwalać na zdalne wykonanie kodu lub uzyskanie nieautoryzowanego dostępu do urządzeń bez uwierzytelnienia. Routery TP-Link są jednymi z najpopularniejszych na świecie i wielokrotnie były celem botnetów IoT oraz kampanii APT — część z nich pojawiła się nawet w kontekście sankcji i zakazów stosowania w infrastrukturze krytycznej. Użytkownicy powinni jak najszybciej zaktualizować firmware ze strony producenta — większość routerów domowych nie aktualizuje się automatycznie, a przestarzały firmware jest jednym z najczęstszych wektorów przejęcia urządzenia.
Źródło: SecurityWeek [EN]
2. INCYDENTY
Komisja Europejska bada naruszenie po włamaniu na konto w chmurze Amazon
BleepingComputer informuje, że Komisja Europejska prowadzi dochodzenie w sprawie incydentu bezpieczeństwa, w którym doszło do nieuprawnionego dostępu do konta w infrastrukturze chmurowej Amazon (AWS) powiązanego z instytucją. Naruszenie potencjalnie objęło wrażliwe zasoby przechowywane w chmurze. Atak na infrastrukturę chmurową instytucji unijnych to szczególnie poważna sprawa — Komisja Europejska przetwarza dokumenty dotyczące polityki, regulacji i negocjacji o zasięgu kontynentalnym. Szczegóły dotyczące skali naruszenia nie zostały ujawnione, a dochodzenie jest w toku.
Źródło: BleepingComputer [EN]
Holenderska policja ujawnia naruszenie bezpieczeństwa po ataku phishingowym na pracownika
Holenderskie organy policyjne poinformowały o naruszeniu bezpieczeństwa wewnętrznych systemów, do którego doszło po tym, jak pracownik padł ofiarą phishingu. Atak skutkował nieautoryzowanym dostępem do danych, choć policja nie ujawniła pełnego zakresu incydentu. Phishing wymierzony w pracowników organów ścigania jest szczególnie dotkliwy — dane policyjne mogą obejmować informacje o toczących się śledztwach, tożsamości informatorów i danych osobowych podejrzanych. Incydent jest dobitnym przypomnieniem, że żadna organizacja — nawet specjalizująca się w zwalczaniu przestępczości — nie jest odporna na skuteczny atak socjotechniczny.
Źródło: BleepingComputer [EN]
Naruszenie danych w LiteLLM przez PyPI — skradzione klucze root do popularnej biblioteki AI
Trend Micro opisuje poważny incydent supply chain dotyczący LiteLLM — szeroko używanej biblioteki Python służącej do integracji różnych modeli językowych (GPT, Claude, Gemini itp.) w aplikacjach. Atakujący opublikowali złośliwą wersję pakietu w PyPI, która podczas instalacji wykradała klucze API i tokeny uwierzytelniające do serwisów AI — potencjalnie dając dostęp do kont OpenAI, Anthropic, Google i innych. LiteLLM jest popularny wśród deweloperów budujących produkty oparte na LLM, co oznacza, że jedna infekcja środowiska CI/CD mogła skutkować kradzieżą kluczy root obsługujących produkcyjne aplikacje wielu firm.
Źródło: Trend Micro [EN]
3. CIEKAWOSTKI
UODO złożył zawiadomienie do prokuratury w sprawie deepnude polskiej nauczycielki
Prezes Urzędu Ochrony Danych Osobowych złożył zawiadomienie do Prokuratury Rejonowej Warszawa-Śródmieście w sprawie przetworzenia wizerunku nauczycielki przez narzędzie AI i opublikowania spreparowanego nagiego zdjęcia pod jej postem w mediach społecznościowych. Prezes UODO wskazał, że działanie sprawcy stanowiło nieuprawnione przetwarzanie danych osobowych (wizerunek jest daną osobową) bez zgody poszkodowanej, a skutki obejmują ryzyko naruszenia jej elementarnych interesów życiowych. Sprawa ma dodatkowy niepokojący wymiar — pod postem nauczycielki informującym o incydencie pojawiły się komentarze oskarżające ją o kłamstwo i zachęcające do samobójstwa. UODO zwrócił uwagę, że polskie prawo wciąż nie definiuje terminu „deepfake", co utrudnia ściganie sprawców, a prace nad krajową implementacją unijnego Aktu o AI są w toku.
Źródło: CyberDefence24 [PL]
Raport GitGuardian: wycieki tajnych kluczy i poświadczeń w kodzie to nadal masowy problem
GitGuardian opublikował coroczny raport o stanie ekspozycji poświadczeń w repozytoriach kodu. Wyniki są alarmujące: miliony kluczy API, haseł, tokenów OAuth i certyfikatów nadal trafiają do publicznych i prywatnych repozytoriów — często przypadkowo, jako efekt zwykłego przeoczenia podczas commita. Problem dotyczy deweloperów na wszystkich poziomach doświadczenia. Szczególnie niebezpieczne są wycieki kluczy do infrastruktury chmurowej (AWS, GCP, Azure), bo dają atakującym natychmiastowy dostęp do zasobów produkcyjnych. Narzędzia do automatycznego skanowania repozytoriów pod kątem sekretów (jak sam GitGuardian czy truffleHog) powinny być standardowym elementem pipeline'ów CI/CD w każdej firmie.
Źródło: HelpNetSecurity [EN]
Chrome aktualizacja: usunięto osiem poważnych podatności, w tym krytyczne błędy silnika V8
Kapitan Hack opisuje najnowszą aktualizację Chrome (wersja 146), która zamknęła osiem poważnych podatności bezpieczeństwa. Wśród nich znalazły się błędy w silniku JavaScript V8 — tej samej części Chrome, która była wielokrotnie celem exploitów używanych przez grupę Coruna/DarkSword. Błędy w V8 są szczególnie niebezpieczne, bo mogą umożliwiać wykonanie kodu przez samą wizytę na złośliwej stronie (tzw. ataki drive-by). Użytkownicy Chrome powinni sprawdzić, czy mają zainstalowaną najnowszą wersję — w ustawieniach przeglądarki (Pomoc → Informacje o Google Chrome) lub pozwolić przeglądarce zaktualizować się automatycznie.
Źródło: Kapitan Hack [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
Hakerzy podszywają się pod AntiVirus Avast na fałszywej stronie i instalują trojana Venom Stealer
Malwarebytes opisuje kampanię, w której przestępcy stworzyli przekonującą kopię oficjalnej strony Avast — jednego z najpopularniejszych programów antywirusowych. Strona imituje nie tylko wygląd, ale też oferuje „darmowe skanowanie" komputera, po którym pojawia się fałszywy alarm wskazujący na infekcję. Zaniepokojony użytkownik pobiera „program naprawczy" będący w rzeczywistości Venom Stealerem — złodziejem danych zbierającym hasła z przeglądarek, portfele kryptowalutowe i tokeny sesji. Ironia polega na tym, że program antywirusowy staje się tutaj pretekstem do zainstalowania malware. Legalne programy antywirusowe nigdy nie wymagają ponownej instalacji przez stronę WWW — aktualizują się automatycznie.
Źródło: Malwarebytes [EN]
Cyberprzestępcy używają wirtualnych telefonów do omijania weryfikacji tożsamości w bankach
Malwarebytes opisuje rosnący trend: przestępcy wynajmują lub kupują dostęp do usług „wirtualnych telefonów" (cloud-based phone emulators) do masowego tworzenia kont bankowych, omijania SMS-owej weryfikacji dwuetapowej i realizacji fraudów. Usługi te, reklamowane jako narzędzia do testowania aplikacji mobilnych, pozwalają uruchomić setki wirtualnych numerów telefonów i urządzeń z jednego komputera — co daje możliwość automatycznego masowego rejestrowania kont i przechwytywania SMS-ów z kodami jednorazowymi. Banki próbują odpowiadać bardziej zaawansowanymi metodami weryfikacji urządzeń (fingerprinting, analiza behawioralna), ale wyścig zbrojeń trwa.
Źródło: Malwarebytes [EN]
BianLian ransomware ukrywa złośliwy payload w plikach SVG przesyłanych jako fałszywe faktury
HackRead opisuje nową taktykę grupy ransomware BianLian: złośliwy kod jest ukrywany w plikach graficznych SVG przesyłanych jako rzekome faktury lub dokumenty księgowe. SVG (Scalable Vector Graphics) to format graficzny oparty na XML, który może zawierać kod JavaScript — co czyni go groźnym wektorem ataku, bo filtry antyspamowe często nie traktują plików graficznych jako potencjalnie niebezpiecznych. Po otwarciu pliku SVG w przeglądarce lub edytorze graficznym, zawarty w nim skrypt uruchamia łańcuch infekcji kończący się wdrożeniem ransomware. To kolejny przykład coraz bardziej kreatywnego omijania zabezpieczeń e-mailowych przez grupy ransomware.
Źródło: HackRead [EN]
5. DEZINFORMACJA, CYBER WOJNA
Irańska grupa Handala twierdzi, że uzyskała dostęp do prywatnego konta e-mail dyrektora FBI Kasha Patela
CyberScoop i SecurityWeek informują, że proirańska grupa hakerska Handala — ta sama, której strony FBI zajęło w poprzednim tygodniu — twierdzi, że włamała się na prywatne konto e-mail dyrektora FBI Kasha Patela. Handala opublikowała rzekome zrzuty ekranu wiadomości jako dowód. Twierdzenia te nie zostały zweryfikowane, a FBI nie skomentowało doniesień. Jeśli prawdziwe, byłby to poważny incydent wywiadowczy: prywatna korespondencja szefa FBI mogłaby zawierać wrażliwe informacje o toczących się śledztwach. Niezależnie od prawdziwości włamania, sam fakt jego ogłoszenia to operacja informacyjna mająca zdyskredytować szefową agencji zaangażowanej w działania przeciwko Handali.
Źródło: CyberScoop [EN] | SecurityWeek [EN]
Eksperci ds. cyberbezpieczeństwa na RSAC 2026: „Jesteśmy w stanie wojny" — AI zmienia krajobraz zagrożeń
The Hacker News i CyberScoop relacjonują wypowiedzi czołowych ekspertów bezpieczeństwa na konferencji RSAC 2026. Kevin Mandia, Alex Stamos i Morgan Adamski zgodnie wskazywali, że świat wkroczył w nową fazę konfliktu cybernetycznego, w której AI dramatycznie przyspiesza zarówno ataki, jak i możliwości obrony. Eksperci podkreślają, że czas od odkrycia podatności do jej aktywnego eksploitacji skrócił się z tygodni do godzin, a atakujący używają LLM do automatycznego skanowania podatności, pisania exploitów i personalizowania kampanii phishingowych na masową skalę. Zdaniem panelistów organizacje, które nie inwestują w AI-wspieraną obronę, będą strukturalnie w tyle za atakującymi — i to jest realny problem bezpieczeństwa narodowego, nie tylko korporacyjnego.
Źródło: The Hacker News [EN] | CyberScoop [EN]
Ransomware BearlyFy uderza w rosyjskie firmy — rzadki przypadek ataku na cele w Rosji
The Hacker News opisuje kampanię ransomware BearlyFy wymierzoną w ponad 70 rosyjskich firm z sektora finansowego, logistycznego i przemysłowego. Atak jest uderzający z kilku powodów: po pierwsze, rosyjskie firmy są rzadko celem zachodnich lub neutralnych grup ransomware (większość przestępców omijakając celowo obiekty w krajach WNP); po drugie, BearlyFy stosuje techniki trudne do wykrycia przez rosyjskie systemy ochrony. Nie jest jasne, czy za atakiem stoją podmioty powiązane z Ukrainą, niezależni przestępcy, czy inny aktor — ale incydent wpisuje się w trend: Rosja, sama będąca globalnym centrum przestępczości ransomware, coraz częściej staje się jej ofiarą.
Źródło: The Hacker News [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 27 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.