🔐 Cyber Security Daily News | 31.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
macOS Tahoe 26.4 blokuje wklejanie złośliwych poleceń do Terminala — nowa ochrona przed ClickFix
Apple wprowadza nową funkcję bezpieczeństwa w macOS Tahoe 26.4: gdy użytkownik spróbuje wkleić do aplikacji Terminal podejrzane polecenie, system wyświetli ostrzeżenie z komunikatem o potencjalnym złośliwym oprogramowaniu i zablokuje operację. Komunikat wyraźnie wyjaśnia mechanizm: oszuści na stronach WWW, w chatach i aplikacjach zachęcają do wklejania poleceń w Terminal, które w rzeczywistości instalują malware. ClickFix — technika nakłaniania ofiar do samodzielnego uruchamiania złośliwych poleceń — odpowiadała w 2025 roku za ponad połowę całej aktywności loaderów malware. Na Maca trafia coraz więcej kampanii ClickFix: niedawno opisywany Infinity Stealer właśnie w ten sposób kradł dane z MacBooków. Nowa funkcja jest istotna — ale nie wystarczy ją mieć, trzeba też nie klikać „Wklej mimo wszystko" bez zastanowienia.
Źródło: Malwarebytes [EN]
Eksploitacja krytycznej luki F5 BIG-IP (CVE-2025-53521) eskaluje do RCE — ataki w środowisku dzikim
SecurityWeek i BleepingComputer informują o eskalacji zagrożenia: podatność w F5 BIG-IP, początkowo opisywana jako luka DoS, została zaktualizowana do krytycznej z możliwością zdalnego wykonania kodu (RCE) po tym, jak okazało się, że jest aktywnie eksploitowana w środowisku dzikim. BIG-IP to sprzęt sieciowy obecny w środowiskach korporacyjnych i rządowych na całym świecie — zarządza ruchem sieciowym i dostępem do aplikacji. Administratorzy, którzy jeszcze nie zaktualizowali firmware, powinni to zrobić natychmiast, a do tego sprawdzić logi pod kątem podejrzanej aktywności z ostatnich dni. CISA dodała lukę do katalogu KEV, nakładając na agendy federalne USA ustawowy termin instalacji łatki.
Źródło: SecurityWeek [EN] | BleepingComputer [EN]
Citrix NetScaler CVE-2026-3055: aktywna eksploitacja potwierdzona, łatać natychmiast
The Register i SecurityWeek potwierdzają, że podatność CVE-2026-3055 w Citrix NetScaler ADC/Gateway (CVSS 9.3), o której alarmowano już 29 marca, przeszła z fazy aktywnego skanowania do rzeczywistej eksploitacji. Luka umożliwia wycieka pamięci z urządzeń skonfigurowanych jako dostawca tożsamości SAML (SAML IDP) — a są to typowe konfiguracje środowisk Single Sign-On w dużych organizacjach. Cytrix wydał poprawki, jednak okno między publikacją łatki a wdrożeniem przez administratorów jest właśnie tym momentem, w którym atakujący działają najintensywniej. Organizacje z urządzeniami NetScaler powinny traktować tę aktualizację priorytetowo — historia CitrixBleed z 2023 roku pokazuje, co może się stać, gdy administratorzy czekają zbyt długo.
Źródło: The Register [EN] | SecurityWeek [EN]
2. INCYDENTY
Kolejny atak ransomware na polską placówkę medyczną — tym razem Centrum Medyczne „Eskulap" w Raciborzu
Centrum Medyczne „Eskulap" w Raciborzu (wielospecjalistyczna przychodnia) poinformowało o ataku ransomware z 24 marca 2026, który zaszyfrował dane przechowywane na serwerach obsługujących pacjentów. Atak skutkował utratą dostępności do danych osobowych i medycznych pacjentów, a istnieje wysokie prawdopodobieństwo wycieku danych — w tym numerów PESEL, danych dowodów osobistych i historii chorób. Centrum przywróciło kopię zapasową sprzed prawie 5 lat (z 2021 roku). To już trzecia polska placówka medyczna uderzona ransomware w marcu — wcześniej zaatakowano szpital w Szczecinie i Bonifraterskie Centrum Medyczne. CBZC wskazuje, że za te ataki najprawdopodobniej odpowiada ta sama grupa przestępcza.
Źródło: CyberDefence24 [PL]
FBI potwierdza włamanie na prywatną skrzynkę mailową dyrektora FBI Kasha Patela — nagroda 10 mln USD
FBI oficjalnie potwierdziło, że doszło do włamania na prywatne konto Gmail dyrektora agencji Kasha Patela przez irańską grupę Handala. Jednocześnie Stany Zjednoczone ogłosiły nagrodę w wysokości 10 milionów dolarów za informacje prowadzące do identyfikacji i aresztowania osób odpowiedzialnych za atak. Fakt, że szef FBI stał się celem udanego włamania na prywatną pocztę, jest operacyjną kompromitacją — prywatne konto e-mail wysokiego urzędnika może zawierać informacje pozwalające na inferencję wrażliwych danych nawet bez bezpośredniego dostępu do systemów rządowych. Incydent po raz kolejny podkreśla, że osoby publiczne o wysokim poziomie zagrożenia powinny używać oddzielnych kont dla każdego kontekstu i włączyć klucze bezpieczeństwa FIDO2.
Źródło: SecurityWeek [EN] | BleepingComputer [EN]
ForceMemo: setki repozytoriów Python na GitHubie zainfekowane malware przez technikę force-push
Sekurak opisuje szczegółowo kampanię ForceMemo wykrytą przez badaczy StepSecurity: atakujący masowo przejął konta deweloperów GitHub (prawdopodobnie dzięki tokenom wykradzionym wcześniej przez malware GlassWorm) i wstrzyknął złośliwy kod do setek repozytoriów Python. Sprytność ataku polega na użyciu force-push — rebase ostatniego commita z dodanym malware i wypychanie go siłą, zachowując oryginalnego autora i tytuł commita. Złośliwy kod jest trzykrotnie obfuskowany (base64 + zlib + XOR), a jako infrastruktura C2 używany jest blockchain Solana — blokujący skuteczne wykrywanie przez standardowe narzędzia bezpieczeństwa. Malware omija systemy z rosyjskim ustawieniem lokalizacji, co może sugerować rosyjskie korzenie kampanii. Atak jest powiązany z GlassWorm i wciąż trwa.
Źródło: Sekurak [PL]
3. CIEKAWOSTKI
Netia dla firm uruchamia usługę cyberbezpieczeństwa opartą na analizie zagrożeń (CTI)
Telepolis opisuje nową usługę Netii skierowaną do klientów biznesowych — Cyber Threat Intelligence (CTI). Ma ona dostarczać przedsiębiorstwom aktualnych informacji o zagrożeniach: kampaniach phishingowych, grupach cyberprzestępczych aktywnych w danej branży i potencjalnych atakach skierowanych w konkretne sektory. Usługi CTI są standardem w dużych korporacjach, ale dla małych i średnich firm były dotychczas zbyt kosztowne lub niedostępne w Polsce. Wejście operatora telekomowego na ten rynek może oznaczać democratization tego rodzaju ochrony. Warto pamiętać, że sama informacja o zagrożeniach jest bezwartościowa bez zdolności do działania na jej podstawie — CTI działa najlepiej jako uzupełnienie, nie substytut podstawowych środków bezpieczeństwa.
Źródło: Telepolis [PL]
Polska planuje do 10 mld zł rocznie na suwerenną chmurę — kwestia bezpieczeństwa danych państwowych
CRN informuje o planach polskiego rządu dotyczących budowy suwerennej infrastruktury chmurowej, na którą miałoby być przeznaczane nawet 10 miliardów złotych rocznie. Inicjatywa ma zapewnić przechowywanie danych polskich obywateli i instytucji publicznych na infrastrukturze kontrolowanej przez Polskę — a nie przez podmioty z siedzibą w USA (AWS, Azure, Google Cloud) podlegające zagranicznym jurysdykcjom. Temat suwerenności cyfrowej nabiera szczególnego znaczenia po ostatnich incydentach z Komisją Europejską i rosnącej świadomości, że infrastruktura chmurowa jest strategicznym zasobem. Krytyczne pytanie dotyczy tego, czy polska chmura będzie równie bezpieczna technicznie — suwerenność geopolityczna i bezpieczeństwo to dwa różne wymiary.
Źródło: CRN.pl [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
Nowy malware DeepLoad łączy ClickFix z kodem AI do instalacji backdoorów — wykrywanie niemal niemożliwe
Infosecurity Magazine opisuje DeepLoad — nową klasę malware łączącą technikę ClickFix z generowanym przez AI kodem, który różni się kształtem przy każdej infekcji, co radykalnie utrudnia wykrycie przez sygnatury antywirusowe. Malware dociera do ofiar przez spreparowane strony ClickFix i instaluje backdoor dający trwały zdalny dostęp. Aspekt AI jest tu kluczowy: tradycyjne systemy wykrywania bazujące na sygnaturach wymagają wcześniejszego zaobserwowania danego wzorca kodu. Gdy AI regeneruje kod przy każdej infekcji, nie ma wzorca do wykrycia. To poważna zmiana w krajobrazie zagrożeń — i argument za inwestycją w heurystyczne i behawioralne systemy wykrywania zamiast (lub obok) antywirusów sygnaturowych.
Źródło: Infosecurity Magazine [EN]
Messenger coraz częściej używany do wyłudzeń: fałszywe prośby o pożyczkę BLIK od znajomych
Telepolis opisuje nasilającą się falę oszustw przez komunikator Messenger, w których przestępcy przejmują konta użytkowników Facebooka, a następnie piszą do ich znajomych z prośbą o pilną pożyczkę przez BLIK. Scenariusze są urozmaicone: pilna sytuacja zdrowotna, awaria karty, zakup na ostatnią chwilę. Kod BLIK jest jednorazowy i natychmiastowy — ofiara przekazując go, w praktyce wypłaca pieniądze przestępcy bez możliwości cofnięcia transakcji. Kluczowe zasady obrony: zawsze zadzwoń do znajomego pod znany numer zanim prześlesz BLIK, i nigdy nie ufaj nagłym prośbom finansowym przez komunikatory, nawet od „znanych" osób — ich konto mogło zostać przejęte.
Źródło: Telepolis [PL]
CERT Polska publikuje analizę luki CVE-2026-1612 w popularnym oprogramowaniu
CERT Polska opublikował szczegółową analizę podatności CVE-2026-1612 odkrytej w oprogramowaniu szeroko stosowanym w polskich środowiskach. Luka pozwala na nieautoryzowany dostęp do zasobów systemowych. Polska analiza jest szczególnie wartościowa, bo CERT Polska udokumentował konkretne wektory eksploitacji obserwowane w krajowym środowisku i dostarczył rekomendacji dostosowanych do polskich organizacji. Administratorzy powinni zapoznać się z pełną analizą, sprawdzić czy posiadają podatne wersje oprogramowania i zastosować wskazane obejścia lub aktualizacje.
Źródło: CERT Polska [PL]
5. DEZINFORMACJA, CYBER WOJNA
Rosyjska grupa ColdRiver (FSB) aktywnie używa exploitów DarkSword na iOS, celując m.in. w Polaków
CyberDefence24 opisuje kampanię grupy ColdRiver powiązanej z rosyjskim FSB, która po raz pierwszy w historii zastosowała exploity na urządzenia iOS (zestaw DarkSword) do infekcji backdoorem MAYBEROBOT. Atakujący podszywają się pod Atlantic Council, wysyłając fałszywe zaproszenia na zamknięte dyskusje — e-maile są wysyłane ze skompromitowanych skrzynek, co nadaje im pozory autentyczności. Po kliknięciu linku lub pobraniu pliku urządzenie zostaje zainfekowane. Co ważne dla polskich użytkowników: ekspert ds. cyberbezpieczeństwa Łukasz Jachowicz (były członek Rady ds. Cyfryzacji) potwierdził, że kampania dociera do osób zajmujących się tematyką rosyjską w Polsce. Osoby pracujące z informacjami o Rosji lub w środowiskach analitycznych powinny natychmiast zaktualizować iOS.
Źródło: CyberDefence24 [PL] | SecurityWeek [EN]
Irański konflikt zbrojny i cybernetyczny: zaatakowane szpitale, ukryte spyware, fronty cyfrowe i kinetyczne
SecurityWeek analizuje, jak konflikt zbrojny między Iranem a USA/Izraelem ujawnił pełną konwergencję działań kinetycznych i cybernetycznych. Zaatakowane zostały szpitale i systemy ochrony zdrowia — zarówno przez fizyczne uderzenia, jak i przez malware blokujący systemy medyczne. Ukryte spyware instalowane przez powiązane z Iranem grupy APT na urządzeniach w krajach sojuszników USA ujawniło się dopiero po fizycznych uderzeniach militarnych, kiedy operatorzy utracili część infrastruktury i aktywowali śpiące implanty. Artykuł zwraca uwagę na niebezpieczny precedens: kompromitacja systemów szpitalnych jako element działań wojennych to naruszenie prawa humanitarnego, które może stać się normą w przyszłych konfliktach.
Źródło: SecurityWeek [EN]
Cyberatak na instytucje ukraińskie z użyciem narzędzia CTRL Toolkit — rosyjska kampania phishingowa
The Hacker News opisuje aktywną rosyjską kampanię phishingową wymierzoną w ukraińskie instytucje rządowe i wojskowe. Atakujący dystrybuują złośliwe narzędzie CTRL Toolkit przez spreparowane wiadomości e-mail. Po infekcji narzędzie umożliwia zbieranie danych wywiadowczych, eksfiltrację dokumentów i długoterminowy dostęp do sieci ofiary. Kampania wpisuje się w systematyczne rosyjskie operacje cybernetyczne towarzyszące wojnie konwencjonalnej na Ukrainie — cyberatak i zbieranie informacji wywiadowczych jest tu integralną częścią strategii militarnej, nie operacją poboczną.
Źródło: The Hacker News [EN] | CyberDefence24 [PL]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 30 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.