Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
29 stycznia 2026
1. NEWS
CISA dodaje nowe luki do katalogu znanych eksploitowanych podatności
Amerykańska Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) zaktualizowała swój katalog Known Exploited Vulnerabilities (KEV) o kolejne krytyczne podatności. Wśród nowych wpisów znalazły się luki w Microsoft Office, GNU Inetutils, SmarterTools SmarterMail oraz jądrze Linux. Wszystkie dodane podatności są aktywnie wykorzystywane przez cyberprzestępców w realnych atakach, co czyni je priorytetowymi do załatania. CISA wymaga od agencji federalnych wdrożenia poprawek w określonych ramach czasowych, zazwyczaj w ciągu 21 dni od dodania do katalogu. Katalog KEV służy jako autorytatywna lista zagrożeń, które stanowią rzeczywiste i udokumentowane ryzyko dla organizacji. Dodanie podatności do KEV jest oparte na dowodach aktywnej eksploatacji w naturze, a nie tylko teoretycznym potencjale wykorzystania. Organizacje prywatne również powinny traktować ten katalog jako przewodnik do priorytetyzacji łatania podatności. Lista obejmuje zarówno nowe, jak i starsze luki, które wciąż są wykorzystywane z powodu opóźnień w aktualizacjach. Eksperci zalecają administratorom regularne sprawdzanie katalogu i dopasowywanie swoich harmonogramów łatania do priorytetów CISA. Szczególną uwagę należy zwrócić na podatności w powszechnie używanych aplikacjach biurowych i narzędziach sieciowych.
Źródło: Security Affairs [EN]
Ponad 6000 serwerów SmarterMail narażonych na automatyczne ataki przejęcia
Badacze bezpieczeństwa odkryli, że ponad 6000 serwerów pocztowych SmarterMail jest narażonych na zautomatyzowane ataki przejęcia przez internet. Podatność wynika z kombinacji błędów konfiguracyjnych i nieznanych wcześniej luk w oprogramowaniu. Eksponowane serwery mogą być łatwo zidentyfikowane i zaatakowane przy użyciu zautomatyzowanych narzędzi, nie wymagając zaawansowanej wiedzy technicznej. Problem dotyczy różnych wersji SmarterMail, w tym relatywnie aktualnych instalacji, które nie zostały odpowiednio zaktualizowane lub zabezpieczone. Atakujący mogą wykorzystać te serwery do kradzieży korespondencji email, dystrybucji spamu, phishingu lub jako punkt wejścia do szerszej infrastruktury sieciowej. Analiza pokazuje, że wiele z narażonych serwerów należy do małych i średnich przedsiębiorstw, które często mają ograniczone zasoby IT. Eksperci ostrzegają, że kompromitacja serwera pocztowego może mieć poważne konsekwencje dla ciągłości działania biznesu i reputacji organizacji. SmarterTools wydał już aktualizacje bezpieczeństwa, ale wiele serwerów pozostaje niezałatanych. Administratorzy są zdecydowanie zachęcani do natychmiastowej weryfikacji swoich instalacji i wdrożenia wszystkich dostępnych poprawek. Zaleca się również wdrożenie dodatkowych warstw zabezpieczeń, takich jak firewalle aplikacyjne i segmentacja sieci.
Źródło: BleepingComputer [EN]
Keeper Security rozszerza kontrolę dostępu Zero Trust na Slack
Keeper Security ogłosił rozszerzenie swoich rozwiązań kontroli dostępu uprzywilejowanego opartych na Zero Trust na platformę komunikacyjną Slack. Nowa integracja umożliwia organizacjom zarządzanie dostępem do wrażliwych zasobów bezpośrednio z interfejsu Slack, zachowując przy tym rygorystyczne zasady bezpieczeństwa Zero Trust. Rozwiązanie adresuje rosnące wyzwanie zarządzania dostępem w środowiskach pracy zdalnej i hybrydowej, gdzie Slack stał się centralnym hubem komunikacji. Keeper umożliwia administratorom egzekwowanie polityk minimalnych uprawnień oraz czasowego dostępu do systemów krytycznych poprzez workflow w Slack. Funkcja obejmuje również pełne auditowanie i logowanie wszystkich żądań dostępu dla celów compliance i forensyki. Integracja wykorzystuje API Slack do bezpiecznej wymiany informacji bez narażania danych uwierzytelniających. Keeper twierdzi, że rozwiązanie znacząco skraca czas reakcji na zapytania o dostęp, eliminując potrzebę przełączania się między wieloma narzędziami. System automatycznie weryfikuje tożsamość użytkowników i waliduje ich uprawnienia przed przyznaniem dostępu. Rozwiązanie jest szczególnie istotne dla organizacji podlegających ścisłym wymogom regulacyjnym dotyczącym kontroli dostępu. Keeper planuje dalsze rozszerzanie integracji z popularnymi platformami współpracy w nadchodzących miesiącach.
Źródło: IT Security Guru [EN]
WhatsApp wprowadza nową funkcję Lockdown blokującą cyberataki
WhatsApp ogłosił wprowadzenie nowej funkcji bezpieczeństwa o nazwie "Lockdown Mode", zaprojektowanej specjalnie do ochrony przed zaawansowanymi cyberatakami i oprogramowaniem szpiegującym. Nowy tryb oferuje dodatkową warstwę ochrony dla użytkowników znajdujących się w grupach wysokiego ryzyka, takich jak dziennikarze, aktywiści czy dysydenci. Lockdown Mode ogranicza lub wyłącza niektóre funkcjonalności WhatsApp, które mogłyby być wykorzystane jako wektory ataków, w tym złożone typy załączników i wiadomości. Funkcja jest zaprojektowana do ochrony przed exploit'ami zero-day wykorzystywanymi przez komercyjne oprogramowanie szpiegujące typu Pegasus. WhatsApp twierdzi, że tryb znacząco redukuje powierzchnię ataku poprzez dezaktywację potencjalnie podatnych funkcji. Użytkownicy mogą aktywować Lockdown Mode z poziomu ustawień aplikacji, choć Meta ostrzega, że może to wpłynąć na wygodę korzystania. Wprowadzenie funkcji jest odpowiedzią na rosnące zagrożenie ze strony zaawansowanych narzędzi inwigilacji cyfrowej sprzedawanych rządom. Meta zapowiada ciągłe aktualizacje Lockdown Mode w odpowiedzi na ewoluujące zagrożenia. Funkcja będzie dostępna globalnie dla wszystkich użytkowników WhatsApp w nadchodzących tygodniach. Eksperci bezpieczeństwa chwalą inicjatywę jako ważny krok w ochronie najbardziej narażonych użytkowników.
Źródło: BleepingComputer [EN]
2. INCYDENTY
Ponad 100 organizacji celem kampanii phishingowej ShinyHunters
Grupa hakerska ShinyHunters, znana z wcześniejszych głośnych włamań i sprzedaży danych w darknecie, przeprowadziła zakrojoną na szeroką skalę kampanię phishingową targetującą ponad 100 organizacji na całym świecie. Atak charakteryzuje się wysokim stopniem personalizacji i wykorzystaniem zaawansowanych technik social engineering do zwiększenia skuteczności. ShinyHunters stosuje taktykę spear-phishingu, wysyłając wiadomości starannie dostosowane do konkretnych ofiar i ich organizacji. Kampania koncentruje się głównie na pozyskiwaniu danych uwierzytelniających pracowników z dostępem do systemów korporacyjnych i baz danych. Analitycy zauważyli, że grupa wykorzystuje skradzione dane z poprzednich włamań do budowania bardziej przekonujących pretekstów phishingowych. ShinyHunters jest odpowiedzialna za serię masywnych wycieków danych w ostatnich latach, w tym informacji z platform takich jak Microsoft, AT&T i wielu innych. Nowa kampania wskazuje na ewolucję taktyk grupy w kierunku bardziej targetowanych ataków na wyselekcjonowane cele. Eksperci ostrzegają, że sukces tej kampanii może prowadzić do kolejnej fali masowych wycieków danych w nadchodzących miesiącach. Organizacje są zachęcane do wzmożenia szkoleń z zakresu rozpoznawania phishingu oraz wdrożenia zaawansowanych rozwiązań email security. SecurityWeek zaleca również monitorowanie dark web w poszukiwaniu potencjalnie wyciekłych danych korporacyjnych.
Źródło: SecurityWeek [EN] oraz Silent Push [EN]
Słowak przyznał się do prowadzenia marketplace'u Kingdown dla cyberprzestępców
Obywatel Słowacji przyznał się przed sądem amerykańskim do prowadzenia Kingdown Market, jednego z głównych marketplace'ów dla cyberprzestępców w dark web. Platforma była używana do handlu skradzionymi danymi, narzędziami hakowania, złośliwym oprogramowaniem oraz usługami cyberprzestępczymi. Kingdown Market działał jako pośrednik między sprzedającymi narzędzia cyberprzestępcze a kupującymi, pobierając prowizję od każdej transakcji. Na platformie były dostępne ransom-as-a-service, exploit kity, bazy danych skradzionych kart kredytowych oraz narzędzia do przeprowadzania ataków DDoS. FBI i międzynarodowe organy ścigania prowadziły wieloletnią operację mającą na celu zidentyfikowanie i aresztowanie operatora marketplace'u. Oskarżony czeka teraz na wyrok, który może obejmować wieloletnie więzienie oraz konfiskatę zysków uzyskanych z nielegalnej działalności. Zamknięcie Kingdown Market jest częścią szerszej kampanii przeciwko infrastrukturze cyberprzestępczej w dark web. Śledczy przejęli również serwery platformy, co może prowadzić do identyfikacji i aresztowania użytkowników marketplace'u. Sprawa pokazuje rosnącą skuteczność międzynarodowej współpracy w zwalczaniu cyberprzestępczości. Eksperci ostrzegają jednak, że zamknięcie jednego marketplace'u często prowadzi do powstania nowych platform w jego miejsce.
Źródło: BleepingComputer [EN]
Dwie luki wysokiego ryzyka w n8n pozwalają na RCE
Badacze bezpieczeństwa ujawnili dwie krytyczne podatności w popularnej platformie automatyzacji n8n, które umożliwiają zdalne wykonanie kodu (RCE) na zaatakowanych systemach. Luki zostały ocenione jako wysokiego ryzyka ze względu na potencjał całkowitej kompromitacji instancji n8n. n8n to platforma open-source do automatyzacji workflow, szeroko wykorzystywana przez organizacje do integracji różnych usług i procesów biznesowych. Pierwsza podatność umożliwia nieautoryzowanym atakującym wykonanie dowolnego kodu poprzez manipulację parametrami workflow. Druga luka pozwala na obejście mechanizmów walidacji i bezpośrednią interakcję z bazowymi systemami operacyjnymi. Podatności wpływają na wiele wersji n8n, w tym na instalacje self-hosted oraz niektóre instancje chmurowe. Zespół n8n szybko wydał poprawki bezpieczeństwa i zdecydowanie zaleca wszystkim użytkownikom natychmiastową aktualizację. Do czasu wdrożenia łatek, zaleca się ograniczenie dostępu do instancji n8n oraz wzmożone monitorowanie podejrzanej aktywności. Incydent podkreśla znaczenie bezpieczeństwa w narzędziach automatyzacji, które często mają szerokie uprawnienia w infrastrukturze. Eksperci ostrzegają, że kompromitacja platformy automatyzacji może prowadzić do efektu domina w całej sieci organizacji.
Źródło: The Hacker News [EN]
Mustang Panda wdraża zaktualizowanego backdoora w nowych kampaniach
Chińska grupa APT znana jako Mustang Panda (znana również jako TA416 lub RedDelta) została zaobserwowana podczas wdrażania zaktualizowanej wersji swojego charakterystycznego backdoora w najnowszych kampaniach szpiegowskich. Nowa wersja malware zawiera ulepszone mechanizmy unikania wykrycia oraz dodatkowe możliwości ekstrakcji danych. Mustang Panda koncentruje się na celach w Azji Południowo-Wschodniej, szczególnie na organizacjach rządowych, think tankach i podmiotach związanych z polityką zagraniczną. Backdoor wykorzystuje wieloetapową architekturę ładowania, która utrudnia analizę i wykrywanie przez tradycyjne rozwiązania antywirusowe. Grupa stosuje zaawansowane techniki spear-phishingu, często wykorzystując geopolityczne wydarzenia jako przynęty do infekcji. Analiza kodu pokazuje, że Mustang Panda aktywnie rozwija swoje narzędzia, dodając nowe funkcjonalności i techniki obfuskacji. Backdoor umożliwia pełną kontrolę nad zainfekowanymi systemami, w tym kradzież dokumentów, przechwytywanie komunikacji i monitorowanie aktywności użytkowników. Kampania wskazuje na ciągłe zainteresowanie Chin w prowadzeniu operacji cyber-espionage przeciwko sąsiednim krajom. Eksperci zalecają organizacjom w regionie wzmożenie monitorowania nietypowej aktywności sieciowej i wdrożenie zaawansowanych rozwiązań EDR. Szczególną uwagę należy zwrócić na phishingowe emaile związane z bieżącymi wydarzeniami geopolitycznymi.
Źródło: The Hacker News [EN]
3. CIEKAWOSTKI
Prompt injection w Google Gemini pozwalał wykraść wydarzenia z kalendarza
Sekurak ujawnia szczegóły krytycznej podatności typu prompt injection w Google Gemini, która umożliwiała atakującym kradzież prywatnych wydarzeń z kalendarzy użytkowników. Luka wynikała z niewłaściwej walidacji i sanityzacji danych wejściowych w integracji Gemini z Google Calendar. Atakujący mogli spreparować złośliwe prompty, które manipulowały Gemini do ujawnienia zawartości kalendarza, pomijając standardowe mechanizmy kontroli dostępu. Podatność była szczególnie niebezpieczna, ponieważ kalendarze często zawierają wrażliwe informacje biznesowe, spotkania z klientami i prywatne plany. Eksploitacja luki nie wymagała zaawansowanej wiedzy technicznej – wystarczyło odpowiednio sformułować zapytanie do AI. Problem podkreśla szersze wyzwanie bezpieczeństwa związane z integracją modeli językowych z usługami zawierającymi prywatne dane. Google szybko załatało podatność po zgłoszeniu przez badacza bezpieczeństwa, który został nagrodzony w ramach programu bug bounty. Incydent jest kolejnym przykładem jak prompt injection staje się poważnym zagrożeniem dla systemów AI w produkcji. Sekurak przedstawia szczegółową analizę techniczną exploita oraz zalecenia dotyczące bezpiecznego projektowania integracji AI. Przypadek ten powinien być ostrzeżeniem dla wszystkich deweloperów integrujących LLM-y z systemami zawierającymi wrażliwe dane użytkowników.
Źródło: Sekurak [PL]
Złośliwe rozszerzenia Chrome mogą szpiegować rozmowy z ChatGPT
Malwarebytes ostrzega przed rosnącym zagrożeniem ze strony złośliwych rozszerzeń Chrome, które potrafią przechwytywać i szpiegować prywatne konwersacje użytkowników z ChatGPT i innymi chatbotami AI. Badacze zidentyfikowali kilka rozszerzeń dostępnych w Chrome Web Store, które pod pretekstem dodania funkcjonalności do ChatGPT, w rzeczywistości wykradają treść rozmów. Przechwycone konwersacje mogą zawierać wrażliwe informacje biznesowe, dane osobowe, kod źródłowy lub inne poufne informacje, które użytkownicy udostępniają AI. Rozszerzenia działają poprzez inject JavaScript do stron ChatGPT, przechwytując komunikację między użytkownikiem a API OpenAI. Skradzione dane są następnie przesyłane na serwery kontrolowane przez cyberprzestępców, gdzie mogą być wykorzystane do różnych nielegalnych celów. Problem jest szczególnie poważny, ponieważ wiele osób używa ChatGPT do pomocy w pracy, nieświadomie ujawniając tajemnice handlowe lub informacje zastrzeżone. Niektóre złośliwe rozszerzenia miały dziesiątki tysięcy instalacji, zanim zostały wykryte i usunięte ze sklepu. Malwarebytes zaleca użytkownikom regularne przeglądanie zainstalowanych rozszerzeń i usuwanie tych, które nie są absolutnie niezbędne. Eksperci ostrzegają, że rosnąca popularność narzędzi AI czyni je atrakcyjnym celem dla cyberprzestępców. Zaleca się szczególną ostrożność przy instalowaniu rozszerzeń obiecujących "ulepszoną" funkcjonalność dla popularnych usług AI.
Źródło: Malwarebytes [EN]
Google ujawnia exploit pozwalający administratorom Windows eskalować uprawnienia
The Register donosi o publikacji przez Google szczegółów exploita umożliwiającego administratorom systemów Windows eskalację uprawnień do poziomu SYSTEM – najwyższego poziomu dostępu w systemie operacyjnym. Podatność wykorzystuje subtelną lukę w mechanizmach zarządzania uprawnieniami Windows, która może być nadużyta przez lokalnych administratorów. Choć wymaga to już posiadania uprawnień administratora, exploit pozwala ominąć dodatkowe zabezpieczenia i ograniczenia nałożone na standardowe konta admin. Problem jest szczególnie istotny w środowiskach korporacyjnych, gdzie organizacje stosują model minimalnych uprawnień i nie wszystkie konta admin mają pełny dostęp. Exploit może być wykorzystany przez złośliwe oprogramowanie, które już uzyskało uprawnienia administratora, do dalszej eskalacji i uzyskania pełnej kontroli. Google ujawniło podatność po upływie standardowego okresu disclosure, co wywołało kontrowersję dotyczącą tego, czy Microsoft miał wystarczająco dużo czasu na przygotowanie łatki. Microsoft wydał już poprawkę, ale wiele systemów pozostaje niezaktualizowanych, co stwarza okno możliwości dla atakujących. Incydent ponownie podkreśla złożoność modelu uprawnień Windows i wyzwania związane z jego prawidłowym zabezpieczeniem. Eksperci zalecają organizacjom przyspieszenie wdrażania styczniowych aktualizacji Windows oraz audyt kont z uprawnieniami administratora. Przypadek pokazuje również napięcia między transparency a bezpieczeństwem w procesie responsible disclosure.
Źródło: The Register [EN]
Phantom – nowe malware Android ukryte w zmodyfikowanych grach przeprowadza oszustwa reklamowe
Hackread ujawnia szczegóły nowego malware dla systemu Android o nazwie Phantom, który rozprzestrzenia się poprzez zmodyfikowane wersje popularnych gier mobilnych. Złośliwe oprogramowanie jest starannie ukryte w pozornie legalnych modyfikacjach gier, oferujących darmowe funkcje premium lub nielimitowane zasoby. Po instalacji Phantom działa w tle, generując fałszywe kliknięcia reklamowe i instalacje aplikacji w ramach oszustwa typu ad fraud. Malware jest zaprojektowany do unikania wykrycia poprzez zachowanie niskopoziomowej aktywności i działanie tylko w określonych godzinach. Oszustwo reklamowe generuje znaczące zyski dla cyberprzestępców kosztem reklamodawców, którzy płacą za fałszywe wyświetlenia i kliknięcia. Phantom wykorzystuje również zainfekowane urządzenia do proxy traffic, co może spowalniać urządzenia i zużywać dane mobilne użytkowników. Badacze zidentyfikowali dziesiątki zmodyfikowanych gier zawierających Phantom, niektóre z nich miały setki tysięcy pobrań. Malware jest dystrybuowane poza Google Play Store, głównie przez fora hakowania gier i strony z crackami. Hackread zaleca użytkownikom unikanie instalowania aplikacji spoza oficjalnych sklepów oraz regularnego skanowania urządzeń oprogramowaniem antywirusowym. Incydent pokazuje jak cyberprzestępcy wykorzystują ludzkie pragnienie darmowych treści premium jako wektor infekcji.
Źródło: Hackread [EN]
4. OSZUSTWA, SCAMY, EXPLOITY
Ataki ClickFix rozszerzają się wykorzystując fałszywe błędy Google Meet
The Hacker News informuje o nowej fali ataków ClickFix, które wykorzystują fałszywe komunikaty o błędach rzekomo pochodzące z Google Meet do infekowania ofiar złośliwym oprogramowaniem. Kampania jest ewolucją wcześniej obserwowanej taktyki, która wykorzystywała fałszywe błędy CAPTCHA i innych popularnych usług. Atakujący tworzą strony phishingowe doskonale naśladujące interfejs Google Meet, wyświetlające fałszywe komunikaty o problemach z połączeniem. Komunikaty instruują użytkowników, aby "naprawić" problem kopiując i wykonując złośliwy kod PowerShell lub skrypt w terminalu. Nieświadome ofiary, myśląc że rozwiązują techniczny problem, faktycznie instalują malware na swoich systemach. Taktyka ClickFix jest szczególnie skuteczna, ponieważ omija tradycyjne zabezpieczenia email i web, wykorzystując użytkownika jako ostateczny "mechanizm dostarczenia". Kampania targetuje głównie użytkowników biznesowych, którzy regularnie korzystają z Google Meet do spotkań online. Zainstalowane malware może obejmować infostealery, trojany bankowe lub ransomware, w zależności od celu atakujących. Eksperci ostrzegają przed rosnącym wyrafinowaniem oszustw social engineering wykorzystujących zaufane platformy komunikacyjne. Organizacje powinny edukować pracowników, że żadna legalna usługa nigdy nie będzie wymagała ręcznego wykonywania kodu lub skryptów.
Źródło: The Hacker News [EN]
Cyberprzestępcy chwalą się metodami monetyzacji skradzionych danych
Badacze bezpieczeństwa przeanalizowali raporty i dyskusje cyberprzestępców dotyczące najbardziej efektywnych metod monetyzacji skradzionych danych w 2026 roku. CySecurity News publikuje wnioski z analizy forów dark web i kanałów komunikacyjnych używanych przez grupy przestępcze. Najpopularniejsze metody obejmują sprzedaż hurtową baz danych, wykorzystanie danych do ataków BEC oraz wyłudzenia tożsamości. Cyberprzestępcy dzielą się szczegółowymi tutorialami dotyczącymi maksymalizacji zysków z różnych typów skradzionych danych. Dane kart kredytowych są sprzedawane w pakietach według krajów pochodzenia, z różnymi cenami w zależności od limitu karty i typu. Informacje o kontach korporacyjnych są szczególnie cenione ze względu na potencjał przeprowadzania ataków Business Email Compromise. Rosnący trend to wykorzystanie AI do automatyzacji procesów oszustw, co pozwala na skalowanie operacji przy mniejszym ryzyku wykrycia. Analiza pokazuje również rosnące wykorzystanie kryptowalut privacy-focused, takich jak Monero, do ukrywania przepływów pieniężnych. Cyberprzestępcy coraz częściej oferują "fraud-as-a-service", gdzie dostarczają kompletne rozwiązania dla mniej technicznych złodziei. Raport podkreśla znaczenie szybkiego reagowania na wycieki danych, gdyż wartość skradzionych informacji szybko maleje po ich ujawnieniu.
Źródło: CySecurity News [EN]
Uwzględnij WinRAR w swojej analizie ryzyka – trwają aktywne kampanie wykorzystujące CVE-2025-8088
AVLab.pl alarmuje o trwających aktywnych kampaniach wykorzystujących krytyczną lukę CVE-2025-8088 w popularnym archiwizatorze WinRAR. Podatność pozwala na zdalne wykonanie kodu poprzez otwarcie specjalnie spreparowanego pliku archiwum. Problem jest szczególnie poważny ze względu na powszechne wykorzystanie WinRAR w środowiskach korporacyjnych i prywatnych na całym świecie. Atakujący dystrybuują złośliwe archiwa poprzez kampanie phishingowe, podszywając się pod legalne dokumenty biznesowe, faktury lub przesyłki kurierskie. Po otwarciu pliku RAR, exploit automatycznie wykonuje payload bez dalszej interakcji użytkownika. Kampanie są aktywnie prowadzone przez wiele grup przestępczych, które szybko adoptowały exploit po publikacji proof-of-concept. WinRAR wydał już łatkę bezpieczeństwa, ale miliony instalacji pozostają niezaktualizowanych ze względu na brak automatycznych mechanizmów update. Eksperci podkreślają znaczenie włączenia powszechnie używanych aplikacji trzecich w formalną analizę ryzyka cyberbezpieczeństwa.
Źródło: AVLab [PL]
Ponad 454,000 złośliwych pakietów open source zidentyfikowanych
Infosecurity Magazine donosi o zidentyfikowaniu ponad 454,000 złośliwych pakietów w repozytoriach open source, co stanowi dramatyczny wzrost zagrożeń w ekosystemie software supply chain. Liczba ta reprezentuje pakiety wykryte i usunięte w ciągu ostatniego roku z popularnych repozytoriów takich jak npm, PyPI i RubyGems. Złośliwe pakiety często wykorzystują typosquatting – nazwy bardzo podobne do popularnych bibliotek, licząc na pomyłki deweloperów. Inne taktyki obejmują dependency confusion, gdzie atakujący publikują pakiety z identycznymi nazwami co prywatne biblioteki używane w organizacjach. Zainstalowane złośliwe pakiety mogą wykradać zmienne środowiskowe, credentials, kod źródłowy lub instalować backdoory w aplikacjach. Eksperci zalecają deweloperom używanie narzędzi do skanowania dependencies, weryfikację sum kontrolnych oraz minimalizację liczby używanych bibliotek zewnętrznych. Organizacje powinny również implementować procesy code review obejmujące analiz ę wszystkich zależności przed wdrożeniem.
Źródło: Infosecurity Magazine [EN]
5. DEZINFORMACJA, CYBER WOJNA
Indonezja blokuje funkcję generowania obrazów AI w Grok
Indonezja podjęła decyzję o czasowym zablokowaniu funkcji generowania obrazów przez sztuczną inteligencję Grok, chatbot platformy X (dawniej Twitter), po serii kontrowersji związanych z deepfake'ami. Władze kraju zareagowały na rosnącą liczbę przypadków wykorzystywania Grok do tworzenia sfabrykowanych obrazów prominentnych osób, w tym polityków i celebrytów. CySecurity News informuje, że decyzja była odpowiedzią na konkretne incydenty, gdzie deepfake'i były używane do dezinformacji i ataków na reputację. Indonezja jest szczególnie wrażliwa na zagrożenie deepfake'ami ze względu na dużą populację użytkowników mediów społecznościowych i niedawne wybory. Rząd argumentuje, że niekontrolowane generowanie realistycznych obrazów AI stanowi zagrożenie dla porządku publicznego i procesów demokratycznych. X/Twitter musi teraz współpracować z władzami w celu wdrożenia mechanizmów zapobiegających nadużyciom przed przywróceniem funkcji. Przypadek Indonezji może stać się precedensem dla innych krajów rozważających regulację narzędzi generatywnej AI.
Źródło: CySecurity News [EN]
Grok pod lupą Komisji Europejskiej – dochodzenie w sprawie deepfake'ów
CRN.pl donosi, że Komisja Europejska oficjalnie rozpoczęła dochodzenie wobec platformy X w kontekście funkcji generowania deepfake'ów przez chatbot Grok. Postępowanie koncentruje się na potencjalnych naruszeniach Digital Services Act (DSA) dotyczących zarządzania treściami generowanymi przez AI. Komisja bada, czy X wdrożył odpowiednie mechanizmy zapobiegania tworzeniu i rozprzestrzenianiu dezinformacji poprzez Grok. Szczególną uwagę zwraca się na przypadki, gdzie AI był używany do tworzenia fałszywych obrazów polityków europejskich w kontekście wyborczym. Dochodzenie analizuje również, czy platforma odpowiednio oznacza treści generowane przez AI, zgodnie z wymogami DSA. X może zostać ukarany znaczącymi grzywnami, jeśli zostanie stwierdzone naruszenie przepisów o ochronie konsumentów i przeciwdziałaniu dezinformacji. Elon Musk publicznie skrytykował dochodzenie, nazywając je "atakiem na wolność słowa i innowację".
Źródło: CRN [PL]
Bezpieczeństwo danych Polaków – tyle zgłoszeń naruszeń jeszcze nie było
Cyber Defence 24 informuje o rekordowej liczbie zgłoszeń naruszeń bezpieczeństwa danych osobowych Polaków, jaka została odnotowana przez UODO (Urząd Ochrony Danych Osobowych) w ostatnim roku. Statystyki pokazują dramatyczny wzrost incydentów związanych z wyciekami danych, atakami ransomware i nieautoryzowanym dostępem do systemów. Największy odsetek naruszeń dotyczył sektora zdrowia, edukacji i małych firm, które często nie mają wystarczających zasobów na cyberbezpieczeństwo. UODO odnotowało również wzrost liczby kar finansowych nakładanych na organizacje za niewłaściwe zabezpieczenie danych osobowych. Szczególnie niepokojący jest wzrost incydentów związanych z cyberatakami sponsorowanymi przez obce państwa targetującymi polską infrastrukturę. Urząd zwraca uwagę na rosnący problem braku świadomości i przeszkolenia pracowników w zakresie podstawowych praktyk bezpieczeństwa. Rekordowa liczba zgłoszeń może również odzwierciedlać lepsze raportowanie i większą świadomość obowiązków wynikających z RODO. Eksperci przewidują, że trend wzrostowy utrzyma się wraz z rosnącym uzależnieniem od systemów cyfrowych i eskalacją cyberzagrożeń.
Źródło: Cyber Defence 24 [PL]
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.