🔐 Cyber Security Daily News | 10.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Afera Zondacrypto — analiza: za polską giełdą kryptowalut mogło stać rosyjskie FSB
OKO.press publikuje pogłębioną analizę afery Zondacrypto — największego od lat publicznego oskarżenia dotyczącego bezpośredniego wpływu Rosji na polską politykę. Od ponad dwóch tygodni wiemy, że prawicowe ugrupowania mogły być finansowane z rosyjskich pieniędzy przez tę giełdę kryptowalut. Analiza wskazuje, że niemal wykluczone jest, by w Zondacrypto inwestowali wyłącznie rosyjscy mafiozi — chronologia i skala zdarzeń sugerują, że mógł to być rosyjski kontrwywiad FSB, używający mafijnej struktury jako przykrywki. Środki z giełdy miały trafiać do polskich polityków jako finansowanie kampanijne. Parlamentarzyści są świadomi sprawy od niejawnego posiedzenia Sejmu w grudniu 2025, lecz żadne zarzuty nie zostały jeszcze postawione. Sprawa łączy cyberfinanse, kryptowaluty i klasyczne operacje wywiadowcze — to dokładnie ten model działania, przed którym ostrzegał raport ABW.
Źródło: OKO.press [PL], OKO.press [PL]
CERT Orange: wieloetapowa kampania malware z SEO poisoning i bezserwerową infrastrukturą
CERT Orange Polska opisuje zaawansowaną operację cyberprzestępczą, łączącą trzy techniki: SEO poisoning (manipulację wynikami wyszukiwarek, by podejrzane strony pojawiały się wyżej niż oryginały), malvertising w sponsorowanych linkach Google i atak ClickFix. Kampania początkowo podszywała się pod NotebookLM, by z czasem przestawić się na imitację narzędzi AI — w tym Claude Anthropic. Użytkownik trafia na stronę, wykonuje "pozorowaną weryfikację" i nieświadomie uruchamia w terminalu polecenie pobierające malware. Infrastruktura jest bezserwerowa (serverless) i korzysta z API Telegrama jako kanału C2, co utrudnia detekcję — ruch do Telegrama jest często traktowany przez firewalle jako zaufany. Payload ukrywany jest przez łańcuch kodowania base64 + rev, który omija proste skanery sygnaturowe.
Źródło: CERT Orange Polska [PL]
Menedżer firmy sprzedającej zero-daye — skazany na 10 mln dolarów zwrotu po przekazaniu exploita rosyjskiemu nabywcy
Były dyrektor firmy zajmującej się handlem podatnościami zero-day został skazany przez sąd federalny na zwrot 10 milionów dolarów byłym pracodawcom po tym, jak udowodniono, że sprzedał eksploity rosyjskiemu nabywcy z naruszeniem klauzul tajemniczości i lojalnościowych wobec firmy. Wyrok jest bezprecedensowy w branży — to pierwsza tak duża kara cywilna za przekazanie zasobów cyberofensywnych podmiotowi z Rosji. Sprawa rzuca światło na słabo uregulowany rynek brokerów zero-day i pokazuje, że wycieki technik ofensywnych do Rosji czy Chin mają wymierne konsekwencje prawne — przynajmniej gdy dzieje się to bez wiedzy pracodawcy.
Źródło: Zetter Zero Day [EN]
🚨 INCYDENTY
RansomHouse włamuje się do Trellix i ujawnia publicznie dane wewnętrznych systemów
Zaledwie tydzień po tym, jak Trellix ujawnił naruszenie swojego repozytorium kodu, pojawia się kolejny cios: gang ransomware RansomHouse przypisuje sobie odpowiedzialność za włamanie i zaczyna publikować przechwycone dane wewnętrznych systemów tej firmy bezpieczeństwa. Trellix — dostawca narzędzi do wykrywania zagrożeń (XDR) dla tysięcy klientów korporacyjnych — jest szczególnie atrakcyjnym celem, bo dostęp do jego wewnętrznych danych może ujawnić metody detekcji, lukę w produktach lub dane klientów. Dochodzenie jest w toku, a Trellix nie potwierdził jeszcze zakresu drugiego naruszenia.
Źródło: Security Affairs [EN], SecurityWeek [EN]
Fałszywe repozytorium OpenAI na Hugging Face dystrybuuje infostealer wśród programistów AI
BleepingComputer opisuje kampanię, w której na platformie Hugging Face — największym repozytorium modeli AI — pojawiło się fałszywe konto podszywające się pod OpenAI. Przestępcy opublikowali tam spreparowane paczki i modele, które po zainstalowaniu instalują infostealera wykradającego tokeny API, klucze SSH i zmienne środowiskowe. Atakuje to bezpośrednio deweloperów i badaczy AI, którzy regularnie pobierają nowe modele z Hugging Face. Platformy hostingowe dla AI (Hugging Face, PyPI, npm) są coraz częstszym wektorem supply chain attacks, bo ich użytkownicy wykazują wysoki poziom zaufania do oferowanych zasobów.
Źródło: BleepingComputer [EN]
Braintrust — incydent bezpieczeństwa w platformie AI ujawnia systemowe ryzyka łańcucha dostaw AI
Platforma Braintrust, świadcząca usługi oceny i testowania modeli AI dla firm, ujawniła incydent bezpieczeństwa, który badacze traktują jako sygnał alarmowy dla całego sektora AI-as-a-Service. Naruszenie ujawniło, że dostawcy narzędzi do ewaluacji AI mają dostęp do promptów systemowych, wyników modeli i danych firmowych klientów — a to może oznaczać nieautoryzowany dostęp do strategicznych informacji biznesowych. Sprawa podkreśla słabo dotąd dyskutowany problem: łańcuch dostaw AI jest tak samo podatny na ataki, jak tradycyjny łańcuch dostaw oprogramowania, a konsekwencje mogą być trudniej zauważalne.
Źródło: Security Affairs [EN], Security Bez Tabu [PL]
💡 CIEKAWOSTKI
Google Play usuwa aplikacje CallPhantom — stalkerware podszywające się pod narzędzia legalnej historii połączeń
Google usunęło ze sklepu Play kilka aplikacji powiązanych z kampanią CallPhantom, opisaną przez ESET — popularnych "rejestratorów historii połączeń", które w rzeczywistości były narzędziami szpiegowskimi kradnącymi dane: kontakty, wiadomości, lokalizację i historię połączeń. Aplikacje miały łącznie dziesiątki tysięcy pobrań i pozytywne oceny (fałszywie zawyżone). CallPhantom stosował subtelną metodę: po instalacji skrywał swoją ikonę, co utrudniało wykrycie. Poza zasadą "pobieraj tylko z zaufanych źródeł" warto regularnie przeglądać listę zainstalowanych aplikacji i sprawdzać, które z nich mają dostęp do kontaktów i SMS-ów.
Źródło: Instalki.pl [PL]
Unia Europejska bierze VPN-y pod lupę — chce zamknąć lukę prawną
Dobreprogramy informują, że Komisja Europejska uruchamia konsultacje dotyczące regulacji rynku usług VPN. Obecny problem: usługi VPN działają w prawnej szarej strefie — nie są regulowane jak operatorzy telekomunikacyjni, co oznacza, że ich twierdzenia o "zerowym logowaniu" są w większości niezweryfikowalne. KE chce wprowadzić obowiązkowe audyty niezależnych podmiotów i standardy przejrzystości. Propozycja wzbudza emocje: zwolennicy prywatności obawiają się nadmiernej regulacji, branża VPN zaś liczy, że audyty potwierdzą jej deklaracje. Dla użytkowników byłaby to przełomowa zmiana — dziś wybierając VPN, trzeba po prostu wierzyć jego twórcom na słowo.
Źródło: Dobreprogramy [PL]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Fałszywe strony "wsparcia technicznego macOS" kradną dane iCloud przez ClickFix
Hackread opisuje kampanię wymierzoną w użytkowników macOS: złośliwe strony podszywają się pod oficjalną pomoc techniczną Apple (lub zaufanych partnerów serwisowych) i informują o rzekomej "krytycznej infekcji" czy problemie ze sprzętem. Ofiara nakłaniana jest do pobrania narzędzia diagnostycznego — w rzeczywistości infostealer przechwytuje hasło iCloud i pliki z Keychain (menedżer haseł Apple). Kampania łączy ClickFix z phishingiem na dane Apple ID. Rosnąca liczba użytkowników macOS, często mylnie przekonanych o braku zagrożeń na tej platformie, sprawia, że tego rodzaju kampanie stają się coraz bardziej opłacalne dla przestępców.
Źródło: Hackread [EN]
Venomous Helper — wyrafinowana kampania phishingowa kradnie tokeny sesji SSA przez fałszywe maile compliance
Securonix Threat Labs opisuje nową, zaawansowaną kampanię phishingową o nazwie Venomous Helper, wymierzoną w pracowników firm technologicznych i finansowych. Atakujący wysyłają e-maile podszywające się pod alerty departamentów zgodności (compliance) lub korporacyjnych systemów HR — z informacją o "naruszeniu polityki" wymagającym natychmiastowego zalogowania. Strona phishingowa stosuje technikę AiTM (adversary-in-the-middle), przechwytując jednorazowe tokeny sesji jeszcze zanim wygasną, omijając MFA. Kampania jest szczególnie precyzyjnie targetowana: e-maile trafiają do konkretnych działów z odpowiednim żargonem wewnętrznym, co zwiększa ich wiarygodność.
Źródło: Securonix [EN]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Terrorgram — jak szyfrowany kanał na Telegramie stał się globalną infrastrukturą skrajnie prawicowego terroru
CyberDefence24 w obszernej analizie opisuje Terrorgram — sieć powiązanych ze sobą kanałów na Telegramie służącą jako infrastruktura rekrutacji, radykalizacji i koordynacji ataków terrorystycznych przez skrajną prawicę. Platforma łączy setki tysięcy użytkowników z dziesiątek krajów, udostępnia w pełni przetłumaczone manifesty, instrukcje tworzenia broni, listy celów i wzajemne wsparcie emocjonalne dla potencjalnych sprawców. FBI i Europol zidentyfikowały bezpośredni związek Telegramu z kilkoma zrealizowanymi atakami w ostatnich latach. Przypadek Terrogramu łączy cyberbezpieczeństwo z terroryzmem: moderacja i zamknięcie takich kanałów napotykają bariery prawne i techniczne, a Telegram wielokrotnie odmawiał współpracy ze służbami.
Źródło: CyberDefence24 [PL]
Signal zapowiada nowe środki bezpieczeństwa po fali ataków phishingowych na rządy Europy
CySecurity News informuje, że Signal — komunikator ceniony za szyfrowanie end-to-end — ogłosił plany wzmocnienia zabezpieczeń po udokumentowaniu kolejnych ataków phishingowych wymierzonych w europejskich polityków i urzędników (m.in. opisanych przez nas atak rosyjskich służb na Niemcy). Techniczne szyfrowanie Signala jest nie do złamania, ale atakujący coraz sprawniej stosują socjotechnikę: fałszywe kody QR do "połączenia urządzenia", które de facto dodają urządzenie atakującego do konta ofiary. Planowane usprawnienia mają zwiększyć widoczność połączonych urządzeń i alertować użytkownika o podejrzanej aktywności.
Źródło: CySecurity News [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 9 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.