🔐 Cyber Security Daily News | 06.06.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Nowa fala ataków SEO poisoning — fałszywe instalatory Gemini CLI i Claude Code celują w programistów
Badacze bezpieczeństwa z EclecticIQ opisani przez Sekurak alarmują o trwającej kampanii wymierzonej w programistów szukających instalatorów narzędzi AI: Gemini CLI i Claude Code. Atakujący stosują SEO poisoning — fałszywe domeny pozycjonują się powyżej oficjalnych witryn w wynikach wyszukiwania. Strony perfekcyjnie odwzorowują autentyczne strony instalacyjne, ale w pobranym pakiecie — poza samym agentem AI — ukryty jest złośliwy kod. Kampania jest szczególnie niebezpieczna, bo celuje w programistów: osoby, których maszyny zawierają klucze dostępowe do repozytoriów, cloud environments i pipeline'ów CI/CD. Jedyne bezpieczne źródło: cloud.google.com/gemini/docs dla Gemini CLI i docs.anthropic.com dla Claude Code.
Źródło: Sekurak [PL]
Cisco SD-WAN — kolejny zero-day daje uprawnienia root; szósty aktywnie eksploitowany w 2026 roku
BleepingComputer informuje o aktywnej eksploatacji nowej podatności w Cisco SD-WAN, która umożliwia nieuwierzytelnionemu atakującemu uzyskanie dostępu root do urządzenia sieciowego. To szósta aktywnie exploitowana luka w Cisco SD-WAN w ciągu 2026 roku — seria, która nie ma precedensu w historii tej platformy. SD-WAN firmy Cisco zarządza ruchem sieciowym w tysiącach dużych organizacji na całym świecie. Administratorzy muszą natychmiast wdrożyć dostępne łatki i sprawdzić logi pod kątem oznak kompromitacji.
Źródło: BleepingComputer [EN]
Rząd szykuje zmiany przepisów o tajemnicy państwowej — odpowiedź na zagrożenia hybrydowej wojny
Infosecurity24.pl opisuje prace rządowe nad nowelizacją ustawy o ochronie informacji niejawnych — pierwszą istotną aktualizacją od ponad dekady. Zmiany mają dostosować prawo do realiów konfliktu hybrydowego: lepiej chronić tajemnice wojskowe i infrastrukturalne w dobie wycieków przez chmurę i komunikatory, uregulować zasady klasyfikacji informacji w kontekście działalności wywiadowczej i przeciwdziałać rosyjskim operacjom pozyskiwania informacji przez agentów jednorazowych. Projekt trafi do konsultacji społecznych w lipcu.
Źródło: Infosecurity24.pl [PL]
🚨 INCYDENTY
PCPJack — badacze odkryli 230-węzłową sieć chmurowych przekaźników poczty używaną do phishingu
Security Affairs opisuje nowe ustalenia dotyczące grupy PCPJack: badacze zidentyfikowali całą sieć 230 węzłów — serwerów chmurowych skonfigurowanych jako przekaźniki poczty e-mail — używanych do prowadzenia masowych kampanii phishingowych. Sieć jest zbudowana na zhakowanych lub wynajętych tanio serwerach VPS, co utrudnia blokowanie przez filtry antyspamowe (wiele węzłów ma "czyste" adresy IP nieobecne na blacklistach). PCPJack używał tej infrastruktury do kampanii credential stealing, w tym ataków na systemy bankowe w Polsce i Europie.
Źródło: Security Affairs [EN]
Hola Browser skompromitowany — instalator przez 48 godzin dystrybuował cryptominera
BleepingComputer opisuje incydent bezpieczeństwa przeglądarki Hola Browser (znana z usługi VPN jako Hola): przez około 48 godzin oficjalny instalator Hola Browser dla Windows zawierał ukrytego cryptominera. Każdy, kto pobrał i zainstalował przeglądarkę w tym oknie, nieświadomie przekazał część mocy swojego procesora do kopania kryptowaluty dla atakujących. Hola usunęła złośliwą wersję po zgłoszeniu. To kolejny przykład kompromitacji infrastruktury dystrybucji oprogramowania jako wektora ataku supply chain.
Źródło: BleepingComputer [EN]
Ultrahuman Smart Ring — cyberatak na producenta popularnych pierścieni zdrowotnych
Tabletowo informuje o cyberataku na Ultrahuman — producenta inteligentnych pierścieni monitorujących zdrowie (tętno, sen, aktywność fizyczną). Firma ujawniła, że atakujący uzyskali nieautoryzowany dostęp do jej systemów. Dane biometryczne i zdrowotne użytkowników to wyjątkowo wrażliwa kategoria danych — informacje o wzorcach snu, tętnie i aktywności mogą ujawniać stan zdrowia, nawyki życiowe i wzorce zachowania. Ultrahuman prowadzi śledztwo i powiadomiła użytkowników.
Źródło: Tabletowo [PL]
💡 CIEKAWOSTKI
CERT Orange: Blockchain Polygon jako infrastruktura C2 kampanii ClickFix — analiza techniczna
CERT Orange Polska opublikował szczegółową analizę techniczną odkrytej kampanii ClickFix, która używa sieci blockchain Polygon (warstwa 2 Ethereum) jako infrastruktury Command and Control. Instrukcje dla zainfekowanego malware są zakodowane w transakcjach blockchain — co czyni infrastrukturę C2 praktycznie niemożliwą do "wyłączenia" przez tradycyjne działania organów ścigania. Analiza CERT Orange ujawnia cały łańcuch ataku: od SEO poisoning przez ClickFix do komunikacji przez immutable blockchain. To jeden z pierwszych publicznie opisanych przypadków użycia publicznego blockchainu jako C2 w rzeczywistej kampanii w Polsce.
Źródło: CERT Orange Polska [PL]
Ponad 900 systemów ATG na stacjach benzynowych w USA bez zabezpieczeń — dostępne przez internet
BleepingComputer opisuje niepokojące odkrycie badaczy: ponad 900 systemów automatycznego pomiaru zbiorników paliwa (ATG) na stacjach benzynowych w Stanach Zjednoczonych jest dostępnych bez uwierzytelnienia przez publiczny internet. ATG-i sterują ważnymi funkcjami operacyjnymi stacji — mogą być użyte do fałszowania odczytów poziomu paliwa, dezaktywacji alarmów wycieków lub zakłócenia dostaw. To ta sama klasa systemów, które Iran atakował w maju. Teraz badacze dokumentują, jak wiele z nich jest w praktyce niezabezpieczonych.
Źródło: BleepingComputer [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Dobreprogramy ostrzega: kampania SMS z fałszywym powiadomieniem o "naruszeniu danych RODO"
Dobreprogramy opisują nową technikę phishingową: masowe SMS-y informują odbiorców o rzekomym "naruszeniu danych osobowych" i wymagają "weryfikacji tożsamości" w ciągu 24 godzin — pod groźbą zawieszenia kont. Wiadomości powołują się na RODO i brzmią urzędowo. Przestępcy liczą na to, że strach przed naruszeniem prywatności skłoni ofiary do kliknięcia linku i podania danych. Żaden organ ochrony danych ani firma nie kontaktuje się przez SMS z prośbą o weryfikację tożsamości po rzekomym wycieku — takie działanie byłoby samo w sobie naruszeniem RODO.
Źródło: Dobreprogramy [PL]
Pekao i Erste Bank Polska wydają komunikaty — phishing na klientów obu banków
Dobreprogramy relacjonuje równoległe komunikaty bezpieczeństwa dwóch banków — Pekao i Erste Bank Polska (George) — ostrzegające przed aktywnymi kampaniami phishingowymi. Obie kampanie stosują różne schematy (fałszywe alerty o blokadzie konta, podejrzanej transakcji, konieczności aktualizacji danych), lecz cel jest ten sam: skłonienie klienta do zalogowania się przez fałszywą stronę banku. Aktywność równoległa wobec dwóch banków w tym samym czasie sugeruje, że ta sama grupa przestępcza prowadzi obie kampanie.
Źródło: Dobreprogramy [PL], Dobreprogramy [PL]
FIFA World Cup 2026 — fałszywe biletowe platformy i lottery scamy już aktywne przed turniejem
The Hacker News opisuje nasilającą się falę scamów związanych z Mistrzostwami Świata FIFA 2026 (które odbędą się w USA, Kanadzie i Meksyku w czerwcu-lipcu 2026). Setki fałszywych stron sprzedaży biletów, lotteries i konkursów zbierają płatności za bilety, które nie istnieją, lub dane kart płatniczych za "weryfikację tożsamości uczestnika". Atakujący kupują domeny z nazwami FIFA, WorldCup2026, WC2026 i podobnymi. Bilety na Mundial należy kupować wyłącznie przez oficjalny portal FIFA — tickets.fifa.com.
Źródło: The Hacker News [EN]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Polskie MŚP na celowniku cyberprzestępców — CyberDefence24 identyfikuje kampanie wymierzone w Polskę
CyberDefence24 opisuje raport analityczny wskazujący, że małe i średnie przedsiębiorstwa (MŚP) w Polsce stały się priorytetowym celem cyberprzestępczych kampanii w 2026 roku. Grupy ransomware i APT "schodzą niżej" w hierarchii wielkości celów: duże korporacje mają silną ochronę, MŚP — nie. Jednocześnie dane z MŚP (podwykonawcy, dostawcy, partnerzy handlowi dużych firm) są atrakcyjne jako droga bocznego wejścia do większych organizacji. Artykuł zawiera przegląd konkretnych kampanii zidentyfikowanych przez polskie zespoły CTI w ostatnich tygodniach.
Źródło: CyberDefence24 [PL]
Fake Context Alignment — jak Gemini był posłuszny obcym przez manipulację powiadomieniami
Security Affairs opisuje nową technikę ataku nazwaną "Fake Context Alignment": przez spreparowanie powiadomień systemowych (np. e-maili, SMS-ów, alertów) docierających do użytkownika asystenta Gemini, atakujący był w stanie wstrzyknąć fałszywy kontekst, sprawiając, że Gemini wykonywał instrukcje od osób postronnych — nie od właściciela urządzenia. To ewolucja prompt injection: zamiast bezpośrednio manipulować AI, manipuluje się danymi wejściowymi, które AI uznaje za zaufane. Google pracuje nad poprawką.
Źródło: Security Affairs [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 5 czerwca 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.