🔐 Cyber Security Daily News | 31.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Palo Alto GlobalProtect VPN — luka ominięcia uwierzytelniania aktywnie eksploitowana
BleepingComputer potwierdza aktywną eksploatację nowej podatności w Palo Alto Networks GlobalProtect — jednym z najpopularniejszych systemów VPN stosowanych przez firmy na całym świecie. Luka pozwala zdalnym atakującym ominąć uwierzytelnianie i uzyskać dostęp do sieci chronionych przez GlobalProtect — bez znajomości jakichkolwiek danych logowania. GlobalProtect jest instalowany przede wszystkim na granicach sieci korporacyjnych i rządowych, co czyni to przejęcie "złotym biletem" do wewnętrznych zasobów organizacji. Palo Alto wydało pilną łatkę — administratorzy muszą działać natychmiast, bo exploit jest już w użyciu.
Źródło: BleepingComputer [EN]
AI w rękach hakerów — CyberDefence24 ujawnia kolejny rosyjski trop, nowe narzędzia w kampaniach
CyberDefence24 opisuje kolejny potwierdzony przypadek użycia AI przez rosyjskie grupy APT w kampaniach cybernetycznych — tym razem narzędzia AI zostały wykorzystane do automatyzacji rozpoznania celów, generowania spersonalizowanego phishingu i tworzenia wariantów złośliwego kodu omijającego wykrycie przez EDR. Artykuł uzupełnia wczorajszą analizę grupy GreyVibe (opisywaną przez The Register), dodając lokalny kontekst: ataki wymierzone w polskie i ukraińskie instytucje wykazują podobne cechy. Rosja systematycznie obniża próg kosztowy operacji cybernetycznych przez adopcję AI — co oznacza większą liczbę i intensywność ataków przy tym samym nakładzie zasobów wywiadowczych.
Źródło: CyberDefence24 [PL]
Prokurator Generalny Kalifornii pozywa 23andMe — walka o ochronę ofiar wycieku danych zdrowotnych
Rob Bonta, Prokurator Generalny Kalifornii, złożył pozew przeciwko nowym właścicielom 23andMe za naruszenie bezpieczeństwa danych z 2023 roku, które ujawniło dane genetyczne i zdrowotne blisko 7 milionów osób. Firma ogłosiła w 2025 roku upadłość i została sprzedana, ale sprawa o ochronę ofiar wciąż trwa. Dobreprogramy komentują: 23andMe formalnie przestaje istnieć, lecz pozew sądowy za jej winę zaczyna żyć własnym życiem. Dane genetyczne to kategoria szczególna — w połączeniu z danymi zdrowotnymi tworzą profil możliwy do exploitowania przez ubezpieczycieli, pracodawców lub organów ścigania. Sprawa staje się precedensem dla przyszłych wymogów bezpieczeństwa firm biotech.
Źródło: BleepingComputer [EN], Dobreprogramy [PL]
🚨 INCYDENTY
CIFSwitch — kolejna eskalacja uprawnień do roota w Linuksie z PoC; maj bije wszelkie rekordy
BleepingComputer opisuje CIFSwitch — nową podatność lokalnej eskalacji uprawnień (LPE) w jądrze Linux, tym razem w komponencie obsługi przełączania systemu plików CIFS, z publicznie dostępnym kodem exploita. To już szósta (lub siódma, zależnie od liczenia) krytyczna luka LPE w Linuksie ujawniona w ciągu jednego miesiąca. Analitycy ironicznie okrzyknęli maj 2026 "Miesiącem Linux LPE" — po CopyFail, Dirty Frag, Fragnesia, DirtyDecrypt, PinTheft i teraz CIFSwitch. Każda z tych luk wymaga posiadania konta lokalnego — ale w środowiskach wieloużytkownikowych i konteneryzowanych ryzyko eskalacji jest poważne i realne.
Źródło: BleepingComputer [EN]
ChatGPT share links jako wektor dystrybucji malware — legalny domain, złośliwa treść
Badacze opisują nową technikę weaponizacji funkcji "Share" w ChatGPT: atakujący tworzą konwersację wyglądającą jak oficjalna strona wsparcia, komunikat o awarii lub poradnik techniczny — po czym udostępniają link. Odwiedzający widzi adres chat.openai.com/share/... i traktuje stronę jako wiarygodną. Treść konwersacji zawiera instrukcję "naprawy problemu" przez wklejenie polecenia do terminala — co jest wariantem ataku ClickFix. OpenAI pracuje nad ograniczeniem tej ścieżki nadużyć. Tymczasem: nie ufaj poleceniom terminala nawet ze stron z domeną OpenAI, jeśli nie inicjowałeś rozmowy.
Źródło: BleepingComputer [EN], The Hacker News [EN]
Microsoft: 33 złośliwe paczki npm w ataku dependency confusion — profilowanie środowisk CI/CD
Microsoft Security opublikował raport o skoordynowanej kampanii: 33 złośliwe pakiety npm nazwane tak, by przypominały wewnętrzne biblioteki typowych środowisk korporacyjnych (dependency confusion), po instalacji aktywnie profilowały środowisko CI/CD — zbierając zmienne środowiskowe, sekrety chmurowe, konfiguracje pipeline'ów i dane o innych zainstalowanych pakietach, wysyłając je na zewnętrzne serwery. Celem nie jest natychmiastowy zysk, lecz mapowanie infrastruktury i przygotowanie do głębszego włamania. To kolejna manifestacja tegorocznego trendu: atakujący priorytetowo atakują środowiska deweloperskie jako furtki do systemów produkcyjnych.
Źródło: Microsoft Security Blog [EN]
💡 CIEKAWOSTKI
LLM Agent w post-eksploitacji — sztuczna inteligencja autonomicznie bada sieć po włamaniu
The Hacker News opisuje nowy wektor: atakujący po uzyskaniu pierwszego dostępu do sieci organizacji uruchamiają autonomicznego agenta opartego na LLM, który samodzielnie przeprowadza rekonesans — odczytuje konfiguracje, identyfikuje wrażliwe zasoby, sugeruje kolejne kroki ruchu bocznego. Zamiast wymagać eksperckiej wiedzy od każdego operatora, AI "rozumie" wewnętrzną architekturę sieci i wyznacza optymalną ścieżkę do celu. Czas potrzebny do dotarcia od punktu wejścia do zasobów krytycznych dramatycznie się skraca. To rozszerzenie wcześniej opisywanego trendu AI w atakach: nie tylko inicjacja, ale cały kill chain jest teraz wspomagany przez AI.
Źródło: The Hacker News [EN]
Virtual-IT: dane pacjentów pod kluczem — dlaczego szyfrowanie sprzętowe bije programowe?
Virtual-IT.pl opisuje rosnące zainteresowanie sektora medycznego szyfrowaniem sprzętowym — rozwiązaniami, w których operacje kryptograficzne realizowane są na dedykowanych układach scalonych (HSM, TPM, Secure Enclave), a nie przez oprogramowanie. W obliczu fali ataków ransomware na szpitale i wycieku danych medycznych, coraz więcej placówek wybiera podejście sprzętowe: klucze nigdy nie opuszczają bezpiecznego układu, a nawet zainfekowany system operacyjny nie może ich odczytać. Artykuł tłumaczy różnice w języku przystępnym dla menedżerów IT bez głębokiej wiedzy kryptograficznej.
Źródło: Virtual-IT.pl [PL]
🎣 OSZUSTWA, SCAMY, EXPLOITY
CERT Polska: fałszywe mandaty drogowe wracają — nowa kampania SMS z linkami do płatności
CERT Polska odnotował powrót kampanii z fałszywymi mandatami drogowymi — tym razem w ulepszonej formie. SMS-y informują o rzekomym mandacie za przekroczenie prędkości lub nieopłacony przejazd autostradą i zawierają link do strony imitującej system płatności ITD lub system e-TOLL. Kampania jest szczególnie aktywna na początku sezonu urlopowego — atakujący wiedzą, że kierowcy jadący na wakacje są bardziej skłonni do szybkiego "uregulowania" zaległości bez weryfikacji. Żaden organ ścigania nie wysyła linków do płatności przez SMS — sprawdzaj mandaty wyłącznie przez oficjalne strony rządowe.
Źródło: CERT Polska / moje.cert.pl [PL]
Fałszywe strony Anthropic dystrybuują bezplikowego infostealera — atak na użytkowników Claude
Hackread opisuje kampanię, w której przestępcy stworzyli przekonujące kopie strony Anthropic i stron pobierania Claude Code — prowadząc użytkowników przez rzekomą procedurę instalacji, która wstrzykuje do pamięci bezplikowego infostealera (fileless malware). Malware "bezplikowy" nie zapisuje niczego na dysku — działa wyłącznie w pamięci RAM, przez co jest praktycznie niewidoczny dla antywirusa bazującego na skanowaniu plików. Kradnie tokeny, klucze API i dane logowania z przeglądarek. Kampania jest wymierzona precyzyjnie w deweloperów i osoby techniczne aktywnie korzystające z narzędzi AI.
Źródło: Hackread [EN]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Wandalizm strategiczny — jak Rosja podpala Europę za grosze i co Polska może z tym zrobić
CyberDefence24 publikuje analizę "wandalizmu strategicznego" jako nowego oblicza rosyjskiej agresji hybrydowej: małe, stosunkowo tanie akty sabotażu i destabilizacji — pożary magazynów, sabotaż rurociągów, przecięte kable, wypadki przemysłowe, fałszywe alarmy — rozlokowane po całej Europie Zachodniej i Środkowej. Żaden pojedynczy akt nie eskaluje do "aktu wojennego", a razem tworzą stałe poczucie zagrożenia i absorbują zasoby służb. Polska jako kraj frontowy jest szczególnie narażona. Autorzy zwracają uwagę, że dotychczasowe podejście "każdy incydent osobno" jest niewystarczające — konieczne jest systemowe podejście kontrwywiadowcze.
Źródło: CyberDefence24 [PL]
Rosyjscy szpiedzy agresywnie pozyskują zachodnią technologię mimo sankcji
SecurityWeek cytuje zachodnich oficjeli służb wywiadowczych: rosyjska aktywność pozyskiwania technologii — półprzewodników, układów AI, urządzeń wojskowych i podwójnego zastosowania — dramatycznie wzrosła mimo sankcji wprowadzonych po 2022 roku. Rosja używa setek firm-słupów w krajach trzecich (Turcja, ZEA, Kazachstan, Chiny) do omijania embarg, a jednocześnie nasila cyberataki na zachodnie firmy technologiczne jako alternatywny kanał pozyskiwania know-how. Szczególnym celem są firmy z sektora AI, optyki, awioniki i elektroniki wojskowej.
Źródło: SecurityWeek [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 31 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.
Congratulations @lesiopm2! You received a personal badge!
You can view your badges on your board and compare yourself to others in the Ranking
Check out our last posts: