🔐 Cyber Security Daily News | 28.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Glassworm botnet rozbity jednym skoordynowanym uderzeniem — CrowdStrike i Google zaskakują sprawców
CrowdStrike, Google Cloud i szereg partnerów w bezpieczeństwie przeprowadzili skoordynowaną, globalną operację jednoczesnego zajęcia całej infrastruktury botnetu Glassworm — sieci odpowiedzialnej za serię ataków supply chain na rozszerzenia VS Code i pakiety npm opisywanych od maja 2026 roku. Glassworm stosował wielostopniową, odporną infrastrukturę C2 z węzłami zapasowymi rozmieszczonymi w kilku krajach — co historycznie utrudniało takie działania. Tym razem służby precyzyjnie zmapowały całą sieć przed uderzeniem i przejęły wszystkie węzły w jednej chwili, nie dając operatorom czasu na aktywację backupów. Szacunki mówią o setkach tysięcy zainfekowanych maszyn deweloperskich; ofiary otrzymują powiadomienia przez dostawców usług chmurowych.
Źródło: BleepingComputer [EN], The Hacker News [EN], Security Affairs [EN]
Ujawniono strukturę grupy paralizującej polskie służby fałszywymi alarmami — 3 zatrzymanych
Prokuratura Okręgowa Warszawa-Praga ujawniła nowe szczegóły dotyczące grupy odpowiedzialnej za serię fałszywych alarmów o bombach i pożarach w polskich instytucjach publicznych. Jak wyjaśnia prokuratura: "uczestnicy grupy zazwyczaj kontaktowali się przez Internet i nie znali się osobiście" — mimo to działali z wyraźną hierarchią i podziałem ról. Szef MSWiA Marcin Kierwiński potwierdził dotychczasowe trzy zatrzymania i zapowiedział kolejne. Skoordynowana struktura sieciowa i fakt, że sprawcy nie spotykali się fizycznie, znacząco utrudniały ich identyfikację. Sprawa ma charakter rozwojowy — śledztwo obejmuje potencjalny wątek destabilizacji, a nie jedynie chuligaństwo.
Źródło: Infosecurity24.pl [PL]
Microsoft SharePoint — nowa luka RCE; jeszcze nie załatana, kody PoC krążą w sieci
Security Affairs ujawnił, że Microsoft SharePoint posiada nową, poważną podatność na zdalne wykonanie kodu (RCE), dla której nie wydano jeszcze oficjalnej łatki, a fragmenty kodu exploitującego już krążą na forach hakerskich. SharePoint jest jednym z kluczowych narzędzi korporacyjnych — jego przejęcie daje atakującemu dostęp do firmowych dokumentów, projektów i komunikacji wewnętrznej. Organizacje powinny tymczasowo rozważyć ograniczenie dostępu do SharePoint z zewnątrz sieci lub wdrożenie dodatkowych warstw monitoringu. Microsoft potwierdził znajomość problemu i pracuje nad łatką.
Źródło: Security Affairs [EN]
🚨 INCYDENTY
Megalodon — nowy atak zainfekował tysiące repozytoriów GitHub złośliwym kodem
Kapitan Hack i Dark Reading opisują Megalodon — nową, skoordynowaną operację atakującą ekosystem GitHub: złośliwy kod jest wstrzykiwany do tysięcy repozytoriów przez kompromitację tokenów dostępowych deweloperów. Malware ukrywa się w komentarzach, dokumentacji i plikach pomocniczych, czekając na uruchomienie przez systemy CI/CD. Megalodon atakuje szczególnie repozytoria bibliotek JavaScript i Python, skąd może trafić do milionów downstream projektów. To kolejna mutacja trendu supply chain attacks: zamiast zainfekować jedną paczkę, atakujący infekuje tysiące repozytoriów jednocześnie, eksponując całą sieć zależności.
Źródło: Kapitan Hack [PL], Dark Reading [EN]
FBI ostrzega: Silent Ransom Group wchodzi fizycznie do kancelarii prawnych i kradnie dane przez USB
BleepingComputer i The Register opisują alarmujące ostrzeżenie FBI dotyczące grupy "Silent Ransom Group" (SRG): w odróżnieniu od typowych grup ransomware działających zdalnie, SRG wysyła fizycznych operatywów do kancelarii prawnych — podszywają się pod kurierów, techników HVAC lub serwisantów — i w czasie obecności w biurze podłączają do komputerów urządzenia USB eksfiltrujące dane lub instalują złośliwe oprogramowanie. Technika łączy inżynierię społeczną z fizycznym wtargnięciem. FBI udokumentowało co najmniej 15 przypadków w ciągu ostatnich 6 miesięcy, wyłącznie w dużych kancelariach prawnych w USA.
Źródło: BleepingComputer [EN], The Register [EN]
Pretalx XSS — luka w systemie zarządzania konferencjami pozwalała na 100% akceptację zgłoszeń
SecurityWeek i The Register opisują podatność XSS w Pretalx — popularnym open source'owym systemie do zarządzania zgłoszeniami na konferencje naukowe i technologiczne. Luka pozwała atakującemu wstrzyknąć złośliwy skrypt do formularza CFP (Call for Papers), który po otwarciu przez recenzenta przyznawał autorowi zgłoszenia automatycznie pełną akceptację — niezależnie od faktycznej wartości merytorycznej. Błąd umożliwiałby programowe "zhakowanie" procesu recenzji i wciśnięcie do programu konferencji dowolnej prezentacji. Problem jest już naprawiony, ale przez pewien czas był aktywnie eksploitowany.
Źródło: SecurityWeek [EN], The Register [EN]
💡 CIEKAWOSTKI
Jak Rosja ukrywa cyberataki za europejską infrastrukturą — szczegółowa analiza technik maskowania
CyberDefence24 opisuje techniki, jakie rosyjskie grupy APT stosują do maskowania swoich operacji przez routing ataków przez zainfekowaną europejską infrastrukturę: routery domowe, serwery VPS wynajęte w krajach UE i zhakowane strony internetowe. Ruch wychodzący ze skompromitowanych systemów w Polsce, Niemczech czy Francji sprawia, że atak wygląda jak operacja europejska, utrudniając atrybucję i wywołując dyplomatyczne komplikacje między sojusznikami. Artykuł omawia konkretne przypadki ataków na ukraińskie instytucje prowadzonych częściowo przez polską infrastrukturę — bez wiedzy i woli polskich administratorów.
Źródło: CyberDefence24 [PL]
Smart contracts jako C2 — blockchain staje się niezniszczalną infrastrukturą dowodzenia malware
Trend Micro publikuje przełomowe badanie: cyberprzestępcy eksperymentują z używaniem inteligentnych kontraktów (smart contracts) na blockchainie Ethereum i TON jako infrastrukturą C2 dla złośliwego oprogramowania. Adresy blockchain działają jako "martwe skrzynki" — malware odpytuje je o instrukcje; zmiana instrukcji wymaga jedynie nowej transakcji. Infrastruktury blockchain nie można "zamknąć" przez przejęcie domeny ani zablokowanie adresu IP — jest zdecentralizowana i odporna na tradycyjne działania organów ścigania. To poważna zmiana paradygmatu dla obrońców: metody detekcji i reagowania na incydenty nie były projektowane z myślą o blockchain C2.
Źródło: Trend Micro [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Podpis i pieczęć oraz fałszywy urząd skarbowy — CERT Polska z podwójnym alertem phishingowym
CERT Polska opublikował dwa nowe alerty. Pierwszy dotyczy kampanii, w której przestępcy wysyłają maile z oficjalnie wyglądającymi pismami z "podpisem i pieczęcią" — rzekome dokumenty urzędowe prosząc o pobranie załącznika, który instaluje malware. Drugi alert ostrzega przed kampanią phishingową wykorzystującą wizerunek Krajowej Administracji Skarbowej (KAS): maile podszywają się pod oficjalne pisma skarbowe z linkami do fałszywych portali KAS zbierających dane logowania. Obie kampanie celują szczególnie w osoby prowadzące działalność gospodarczą i pracowników działów księgowych.
Źródło: moje.cert.pl [PL], moje.cert.pl [PL], CyberDefence24 [PL]
Scam inwestycyjny z wizerunkiem zmarłego polskiego posła — AI tworzy deepfake'owe reklamy
CyberDefence24 opisuje wyjątkowo cyniczny schemat: przestępcy używają AI do generowania deepfake'owych reklam inwestycyjnych z wizerunkiem i głosem niedawno zmarłego polskiego polityka. Reklamy pojawiają się na Facebooku i obiecują "wyjątkowe inwestycje kryptowalutowe" rzekomo rekomendowane przez polityka. Technologia deepfake jest na tyle zaawansowana, że niemal nie do odróżnienia od prawdziwych nagrań. To nowe dno w eksploatacji śmierci osoby publicznej — i jednocześnie ilustracja, że bariery technologiczne dla tworzenia deepfake'ów praktycznie przestały istnieć dla przestępców.
Źródło: CyberDefence24 [PL]
SIRT.pl: phishing na właścicieli domen home.pl — fałszywe powiadomienia o wygasaniu hostingu
SIRT.pl opisuje aktywną kampanię wymierzoną w klientów home.pl — jednego z największych polskich dostawców hostingu i domen. Właściciele domen otrzymują wiadomości e-mail z informacją o "wygasaniu domeny" lub "nieopłaconej fakturze", z linkami prowadzącymi do fałszywych stron imitujących panel home.pl. Po zalogowaniu przez fałszywą stronę przestępcy przejmują dostęp do konta hostingowego — co może skutkować przejęciem całych stron internetowych, kradzieżą maili lub infekacją strony malware. Zawsze weryfikuj domenę nadawcy i loguj się do panelu hostingowego wyłącznie przez ręcznie wpisany adres.
Źródło: SIRT.pl [PL]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Atak na LA Metro — to nie był hacktivizm, to była operacja państwowa z kostiumem aktywistycznym
Security Affairs ujawnia ustalenia analityków: atak na Los Angeles Metro (system komunikacji miejskiej), który początkowo został przypisany grupie hakerów-aktywistów protestujących przeciwko polityce transportowej, był w rzeczywistości zaawansowaną operacją państwową z celowo nałożoną "maską" hacktivizmu. Atak miał na celu zebranie danych wywiadowczych o infrastrukturze transportowej w jednym z największych miast USA. Techniki zastosowane w ataku (wielomiesięczne utajnione działanie, precyzyjne eksfiltrowanie danych) wykraczały daleko poza możliwości typowych grup aktywistycznych. Raport nie wskazuje konkretnej atrybucji, lecz palce wskazują na aktora państwowego.
Źródło: Security Affairs [EN]
Rosja, Chiny i Iran w Ameryce Łacińskiej — eksploatacja szarej strefy jako baza do operacji zachodnich
Infosecurity24.pl analizuje raport wskazujący, że trzy główne autorytarne mocarstwa cybernetyczne — Rosja, Chiny i Iran — intensywnie rozwijają swoją obecność w Ameryce Łacińskiej, traktując region jako bazę wypadową dla operacji wymierzonych w USA i Europę. Kraje regionu mają słabszą legislację cyberbezpieczeństwa, bliższe relacje gospodarcze z Chinami i Rosją, i mniejszą współpracę wywiadowczą z zachodnimi sojusznikami. Infrastruktura zlokalizowana w krajach Ameryki Łacińskiej jest używana do routingu ataków, prania pieniędzy z cyberprzestępczości i finansowania operacji dezinformacyjnych.
Źródło: Infosecurity24.pl [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 27 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.