🔐 Cyber Security Daily News | 13.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Microsoft Patch Tuesday maj 2026 — 137 podatności, 13 krytycznych, rekordy z powodu AI
Majowy Patch Tuesday Microsoftu przyniósł łatki dla 137 podatności, w tym 13 ocenionych jako krytyczne — rekordowa pula wynika bezpośrednio z rosnącego zastosowania AI do automatycznego wykrywania błędów w kodzie. Wśród naprawionych luk znalazły się dwa zero-daye aktywnie eksploitowane: podatność w Windows Common Log File System (eskalacja uprawnień) oraz luka w Microsoft DWM Core Library. Krytyczne naprawki objęły m.in. zdalne wykonanie kodu przez Scripting Engine w Edge i Internet Explorerze, luki w usługach Azure oraz błędy RCE w protokole RDP. Administratorzy powinni priorytetowo traktować łatki dla serwerów Windows i systemów z aktywnym RDP — obie zero-daye były już obserwowane w rzeczywistych atakach przed wydaniem poprawek.
Źródło: CyberScoop [EN], Dark Reading [EN], KrebsOnSecurity [EN]
Android zyska "Intrusion Logging" — Google i Amnesty International wspólnie walczą ze spyware
CyberScoop opisuje przełomową inicjatywę: Google we współpracy z Amnesty International Tech wbuduje w Androida funkcję "Intrusion Logging" — pasywne zbieranie zaszyfrowanych logów aktywności systemu, które po złamaniu zabezpieczeń telefonu można przekazać badaczom do analizy bez narażania prywatności użytkownika na co dzień. Projekt jest bezpośrednią odpowiedzią na falę ataków spyware (Pegasus, Predator, BirdCall) — do tej pory udowodnienie infekcji wymagało drogich narzędzi forensycznych. Logi mają być przechowywane lokalnie w formie zaszyfrowanej i dostępne wyłącznie na żądanie właściciela urządzenia. Wdrożenie planowane w kolejnej wersji Androida.
Źródło: CyberScoop [EN]
Ukraina zacieśnia relacje z Palantir — AI dla armii i systemy kontrwywiadowcze
CyberDefence24 informuje, że ukraińskie ministerstwo obrony podpisało rozszerzone porozumienie z firmą Palantir Technologies, dotyczące głębszej integracji systemów AI w operacjach wojskowych. Platformy Palantir mają wspierać analizę danych wywiadowczych, śledzenie logistyki na polu walki i wykrywanie wrogich sieci agenturalnych. Ukraina stała się de facto globalnym poligonem dla bojowych zastosowań AI — jej doświadczenia kształtują doktryny NATO. Wdrożenie Palantira przez kraj aktywnie walczący jest bezprecedensowe i budzi zarówno entuzjazm (skuteczność operacyjna), jak i pytania etyczne o rolę prywatnych firm w wojnie.
Źródło: CyberDefence24 [PL]
🚨 INCYDENTY
Mini Shai Hulud — podpisane złośliwe paczki npm TanStack i Mistral w ataku supply chain
BleepingComputer i CyberScoop opisują atak "Mini Shai Hulud": cyberprzestępcy opublikowali złośliwe wersje popularnych pakietów npm — TanStack (framework webowy z milionami pobrań) i Mistral (biblioteka kliencka dla modeli AI) — podpisane ukradzionymi kluczami, co sprawiło, że systemy weryfikacji zaakceptowały je jako autentyczne. Paczki zawierały złośliwy kod eksfiltrujący tokeny uwierzytelniające z CI/CD, zmienne środowiskowe i sekrety cloudowe. Deweloperzy, którzy zaktualizowali zależności w oknie ataku, mogli skompromitować całe pipeline'y produkcyjne. Npm wykrył i usunął złośliwe wersje, lecz okno dystrybucji liczyło kilkadziesiąt minut — wystarczająco dla zautomatyzowanych systemów buildowania.
Źródło: BleepingComputer [EN], CyberScoop [EN]
Skoda — wyciek danych klientów europejskiego sklepu internetowego po cyberataku
BleepingComputer potwierdza incydent bezpieczeństwa w oficjalnym sklepie internetowym Skody: hakerzy uzyskali dostęp do bazy danych klientów zawierającej imiona, adresy, dane kontaktowe i historię zamówień. Producent samochodów poinformował poszkodowanych i złożył zgłoszenie do odpowiednich organów ochrony danych. Atak na e-commerce branży motoryzacyjnej wpisuje się w trend — dane o zakupach i serwisowaniu pojazdów są cenne dla przestępców zarówno ze względu na docelowy phishing, jak i dane z dokumentów wymaganych przy finansowaniu.
Źródło: BleepingComputer [EN]
Wielka Brytania ukarała dostawcę wody grzywną £1,3 mln za ujawnienie danych 664 tysięcy klientów
Brytyjskie ICO (Information Commissioner's Office) nałożyło karę finansową w wysokości 1,3 mln funtów na dostawcę wody South Staffordshire za incydent bezpieczeństwa, w którym dane osobowe 664 tysięcy klientów zostały ujawnione przez luki w systemach IT. Incydent jest szczególnie poważny ze względu na charakter firmy — infrastruktura krytyczna — i sposób przetwarzania danych klientów. Decyzja ICO podkreśla, że obowiązki RODO/UK GDPR dotyczą również firm z sektora użyteczności publicznej, które historycznie były traktowane mniej rygorystycznie w kwestii bezpieczeństwa IT.
Źródło: BleepingComputer [EN]
💡 CIEKAWOSTKI
LLMJacking 2026 — przestępcy kradną klucze API do prywatnych serwerów AI i odsprzedają dostęp
Kaspersky opisuje gwałtownie rosnące zjawisko "LLMJacking": cyberprzestępcy kradną klucze API lub dane logowania do prywatnych instancji dużych modeli językowych (hostowanych przez organizacje na własnej infrastrukturze lub w chmurze) i odsprzedają dostęp innym grupom. Koszty uruchamiania dużych modeli AI są olbrzymie — ukradziony dostęp pozwala konkurencyjnym grupom przestępczym korzystać z mocy obliczeniowej ofiary za darmo do generowania malware, tworzenia phishingowych treści lub łamania captcha. Organizacje korzystające z AI w chmurze powinny monitorować anomalnie wysokie koszty tokenów, rotować klucze API i stosować zasadę minimalnych uprawnień dla każdego modelu.
Źródło: Kaspersky Blog [EN]
Badanie: Polacy nie dają się nabrać — wyjątkiem są fałszywe e-maile o urlopach i benefitach
CRN.pl opisuje wyniki badania phishingowego przeprowadzonego na próbie polskich pracowników korporacyjnych: ogólna skuteczność phishingu jest w Polsce niższa niż średnia europejska — Polacy są stosunkowo czujni wobec fałszywych faktur czy powiadomień IT. Jednak jeden typ wiadomości konsekwentnie wyróżnia się wysoką skutecznością: e-maile podszywające się pod wiadomości z działu HR dotyczące urlopów, benefitów i zmian w wynagrodzeniu. Emocjonalne zaangażowanie (urlop, premia) wyłącza czujność nawet u osób, które w innych kontekstach rozpoznają phishing. To ważna wskazówka dla działów bezpieczeństwa organizujących symulacje ataków.
Źródło: CRN.pl [PL]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Sekurak: InstallFix celuje w użytkowników Claude Code — kampania dystrybuuje RedLine Stealer
Badacze Trend Micro opisani przez Sekurak wykryli nową kampanię InstallFix wymierzoną bezpośrednio w użytkowników Claude Code — narzędzia do agentowego programowania od Anthropic. Atakujący kupują sponsorowane reklamy w wyszukiwarkach dla zapytań o instalację Claude Code i kierują ofiary do stron z precyzyjnymi instrukcjami "instalacji", nakłaniającymi do uruchomienia polecenia w terminalu. Polecenie pobiera i uruchamia RedLine Stealer — jednego z najpopularniejszych infostealerów kradnącego hasła z przeglądarek, portfele kryptowalutowe i tokeny uwierzytelniające. Kampania jest elementem szerszej fali ataków InstallFix/ClickFix, które w ciągu ostatnich tygodni kolejno celowały w DAEMON Tools, JDownloader, Homebrew i teraz Claude Code. Jedyne bezpieczne źródło Claude Code to oficjalna dokumentacja Anthropic na docs.anthropic.com.
Źródło: Sekurak [PL]
OLX + WhatsApp = wyłudzenie — schemat wciąż aktywny, CERT Orange i CyberDefence24 ostrzegają
CERT Orange i CyberDefence24 jednocześnie ostrzegają przed wciąż aktywnym schematem wyłudzeń na platformach ogłoszeniowych: rzekomy "kupujący" kontaktuje się przez WhatsApp zamiast przez chat OLX, twierdząc, że "łatwiej mu tak rozmawiać", po czym wysyła link do fałszywej strony płatności podszywającej się pod OLX, DPD lub Allegro. Strona wyłudza dane karty kredytowej lub inicjuje kod BLIK. Schemat nie jest nowy, ale jest stale odnawiany: nowe domeny, nowe szablony SMS, nowe preteksty — i wciąż skuteczny. Bezpieczna zasada: wszelkie transakcje na OLX finalizuj wyłącznie przez wbudowane narzędzia platformy i nigdy nie otwieraj linków przesłanych przez zewnętrzne komunikatory.
Źródło: Dobreprogramy / CERT Orange [PL], CyberDefence24 [PL]
CERT Polska: dwa nowe ostrzeżenia — QR kody "nowe zasady w firmie" i sextortion "Wiemy co robiłeś online"
CERT Polska wydał jednocześnie dwa nowe alerty. Pierwszy dotyczy phishingu biznesowego: pracownicy firm otrzymują e-maile z tematem "Nowe zasady w firmie" lub "Wymagana aktualizacja polityki bezpieczeństwa" zawierające kody QR, które po zeskanowaniu proszą o ponowne zalogowanie do firmowych systemów — na fałszywej stronie. Drugi alert dotyczy fałszywych maili sextortion z tematem "Wiemy co robiłeś online": wiadomości grożą upublicznieniem kompromitujących materiałów i żądają okupu w kryptowalutach. Maile są masowo rozsyłane i nie zawierają żadnych rzeczywistych danych — to czysta socjotechnika oparta na poczuciu winy i strachu. Oba typy wiadomości należy zignorować i zgłosić na incydent.cert.pl.
Źródło: CERT Polska [PL], CERT Polska [PL]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Memy wchodzą do dyplomacji — USA i Iran prowadzą wojnę na shitposty w mediach społecznościowych
CyberDefence24 opisuje nowe, intrygujące zjawisko w eskalacji napięć między USA a Iranem: oba rządy aktywnie uczestniczą w "wojnie memów" — satyrycznych, złośliwych lub propagandowych postach w mediach społecznościowych, skierowanych zarówno do własnych obywateli, jak i do publiczności globalnej. Irańskie konta państwowe publikują ironiczne komentarze do działań USA na Bliskim Wschodzie; strona amerykańska odpowiada kpiącymi materiałami o irańskiej polityce wewnętrznej. To nowy wymiar dyplomacji publicznej: memy jako narzędzie kształtowania narracji, mobilizowania własnej społeczności i demoralizowania przeciwnika. Granica między organiczną ironią a skoordynowaną operacją informacyjną jest coraz trudniejsza do wyznaczenia.
Źródło: CyberDefence24 [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 12 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.