🔐 Cyber Security Daily News | 01.04.2026

Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.

---

1. NEWS

---

Atak supply chain na bibliotekę axios — popularne narzędzie używane przez miliony programistów zainfekowane malware

Tuż po północy 31 marca ktoś przejął konto npm twórcy biblioteki axios i opublikował dwie złośliwe wersje (1.14.1 i 0.30.4). Axios jest pobierany ok. 100 milionów razy tygodniowo i służy do obsługi żądań HTTP w Node.js — używają go praktycznie wszystkie poważniejsze projekty JS. Złośliwy kod działał inaczej na każdym systemie: Windows instalował fałszywego procesu Windows Terminal, macOS ukrywał demona w rzadko sprawdzanym katalogu, Linux wdrażał backdoora Python. Wszystkie warianty łączyły się z serwerem C2 sfrclak[.]com:8000, wykradały informacje o środowisku i dawały atakującemu pełne zdalne wykonanie kodu (RCE). Atakujący nie zmodyfikowali ani linii oryginalnego kodu axiosa — wstrzyknęli jedynie złośliwą zależność plain-crypto-js w package.json, co utrudniało wykrycie. Jeśli pobierałeś axiosa tej nocy: odłącz maszynę od internetu, zbierz ślady i zrotuj wszystkie klucze SSH, tokeny NPM i klucze API.

Źródło: Niebezpiecznik [PL] | BleepingComputer [EN] | HackRead [EN] | Malwarebytes [EN] | The Register [EN]

---

Polska przyjęła ustawę implementującą unijny Akt o sztucznej inteligencji

Rada Ministrów przyjęła 31 marca projekt ustawy o systemach sztucznej inteligencji — polską implementację unijnego AI Act. Powołana zostanie Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji jako organ nadzoru rynku dla modeli i systemów AI. Prezes UODO uzyska rolę organu nadzorczego nad systemami AI wysokiego ryzyka stosowanymi przez organy ścigania, straż graniczną i wymiar sprawiedliwości. Ustawa przewiduje kary finansowe za naruszenia przepisów AI Act, od których można odwoływać się do Sądu Ochrony Konkurencji i Konsumentów. Premier Tusk podkreślił, że Polska jest jednym z pierwszych krajów europejskich z taką regulacją, i zadeklarował dbałość o to, by prawo nie hamowało innowacji. Teraz projekt trafi do parlamentu.

Źródło: CyberDefence24 [PL]

---

Podatność F5 BIG-IP APM przekwalifikowana do krytycznego RCE — zagrożenie jest poważniejsze niż sądzono

Dark Reading i HackRead informują o eskalacji oceny podatności CVE w F5 BIG-IP APM — luka, początkowo uznana za poważną, została po głębszej analizie zreklasyfikowana do kategorii RCE (Remote Code Execution) z wynikiem CVSS bliskim 9,8. Oznacza to, że atakujący mogą nie tylko wykradać dane z pamięci urządzenia (jak pisaliśmy w poprzednich zestawieniach), ale potencjalnie w pełni przejąć kontrolę nad zainfekowanym urządzeniem. BIG-IP APM jest szeroko stosowany jako brama dostępu w środowiskach korporacyjnych i rządowych — jego kompromitacja daje dostęp do wszystkich zasobów chronionych przez urządzenie. Administratorzy, którzy jeszcze nie zainstalowali łatek, muszą to zrobić natychmiast — sytuacja jest poważniejsza niż wskazywały pierwsze doniesienia.

Źródło: Dark Reading [EN] | HackRead [EN]

---

2. INCYDENTY

---

CERT Polska opisuje kampanię FvncBot: fałszywa aplikacja „Token U2F" banku SGB szpieguje użytkowników Androida

CERT Polska opublikował szczegółową analizę techniczną kampanii FvncBot wymierzonej w polskich użytkowników bankowości mobilnej. Fałszywa aplikacja podszywa się pod token U2F Spółdzielczej Grupy Bankowej (SGB), Alior Banku i BNP Paribas, a następnie nakłania ofiarę do zainstalowania złośliwego „Play Component". Po przyznaniu uprawnień dostępności ten moduł — ukryty pod nazwą „Android V.28.11" — daje atakującym pełny zdalny dostęp do urządzenia przez protokół WebSocket: podgląd ekranu, wstrzykiwanie gestów, przechwytywanie tekstu z pól formularzy (w tym haseł), wyświetlanie fałszywych nakładek i przechodzenie kontrolę nad kamerą. Moduł rejestruje urządzenie na serwerze jeliornic.it.com i odbiera polecenia przez Firebase Cloud Messaging. Złośliwy kod jest ukryty głęboko w zagnieżdżonym pliku zaszyfrowanym RC4 z kluczem „sDjCM" — co czyni go trudnym do wykrycia. Aplikacje bankowe pobieraj wyłącznie z Google Play lub App Store.

Źródło: CERT Polska [PL] | CyberDefence24 [PL]

---

CBZC rozbiło grupę phisherów wyspecjalizowaną w kradzieży pieniędzy z kont bankowych

Centralne Biuro Zwalczania Cyberprzestępczości zatrzymało kolejną grupę przestępczą, której specjalizacją był phishing ukierunkowany na klientów polskich banków. Sprawcy kradli dane logowania poprzez spreparowane strony bankowe, przesyłane linkami w SMS-ach i e-mailach, a następnie w czasie rzeczywistym logowali się do kont ofiar i dokonywali nieautoryzowanych przelewów. Metody socjotechniki obejmowały podszywanie się pod pracowników banku i fałszywe alerty o podejrzanej aktywności. Zatrzymania były możliwe dzięki ścisłej współpracy CBZC z bankami i operatorami telekomunikacyjnymi, którzy dostarczali dane transakcyjne i logów połączeń. To kolejna skuteczna operacja w serii działań CBZC przeciwko phisherom w Polsce.

Źródło: CyberDefence24 [PL]

---

Europol rozbił dużą sieć oszustw na dark webie

CySecurity donosi o operacji Europolu, która doprowadziła do zamknięcia rozległej sieci scam'ów działającej przez dark web. Platforma obsługiwała tysiące ofiar w całej Europie, oferując fałszywe usługi finansowe, sklepy i inne schematy fraudu. Operacja była wynikiem wielomiesięcznego dochodzenia prowadzonego we współpracy służb z kilku krajów członkowskich. Zatrzymano kilka kluczowych osób zaangażowanych w zarządzanie infrastrukturą. Europol regularnie prowadzi takie operacje, ale skala tej konkretnej akcji i liczba ofiar czynią ją jedną z większych w ostatnich miesiącach.

Źródło: CySecurity News [EN]

---

3. CIEKAWOSTKI

---

Sekurak: Twoje SOC widzi wszystko… z wyjątkiem telefonów służbowych

Sekurak zwraca uwagę na systemową ślepą plamkę w monitoringu bezpieczeństwa większości organizacji: telefony komórkowe pracowników. Narzędzia klasy SOC (Security Operations Center), EDR, XDR i SIEM zbierają telemetrię z komputerów, serwerów i urządzeń sieciowych — ale telefon służbowy lub prywatny używany do pracy (BYOD) pozostaje praktycznie poza zasięgiem wykrywania zagrożeń. A to właśnie przez telefon dochodzi do coraz większej liczby ataków: phishing SMS, złośliwe aplikacje, ataki przez WhatsApp Business, przejmowanie kont przez SIM-swapping. Artykuł argumentuje, że rozwiązania MDM (Mobile Device Management) to za mało — potrzebna jest pełna integracja telemetrii mobilnej z platformami SOC. Dla organizacji, które tego jeszcze nie zrobiły, to istotna luka do uzupełnienia.

Źródło: Sekurak [PL]

---

ChatGPT: odkryto technikę przemycania danych przez zapytania DNS

The Register i Infosecurity Magazine opisują ciekawą technikę ataku na ChatGPT, którą badacze określają jako „DNS data snuggling". Podatność pozwala złośliwie skonstruowanej treści (np. stronie odwiedzanej przez agenta ChatGPT) nakłonić model do przesyłania poufnych danych sesji lub wewnętrznych informacji kontekstowych poprzez zapytania DNS — kanał, który jest rzadko monitorowany jako wektor wycieku danych. Technika to wariant prompt injection: złośliwa instrukcja osadzona w przetwarzanej przez model treści kieruje dane do kontrolowanego przez atakującego serwera DNS bez wiedzy użytkownika. OpenAI zostało poinformowane o problemie. Incydent wpisuje się w rosnącą liczbę odkryć technicznych pokazujących, że modele językowe zintegrowane z narzędziami do przeglądania internetu lub agentami AI tworzą nowe, nieoczywiste wektory ataków.

Źródło: The Register [EN] | Infosecurity Magazine [EN]

---

4. OSZUSTWA, SCAMY, EXPLOITY

---

Fałszywe strony Claude Code w sponsorowanych wynikach Google instalują infostealera (kampania InstallFix)

Sekurak opisuje nową kampanię malvertisingu nazwaną InstallFix, skierowaną w deweloperów szukających narzędzia Claude Code (asystenta AI dla programistów działającego w terminalu). Przestępcy wykupili reklamy Google Ads, które pojawiają się wyżej niż organiczne wyniki dla hasła „Claude Code install" — fałszywe strony są łudząco podobne do oryginalnych. Jedyna różnica: polecenie instalacyjne zamiast pobierać plik z claude.ai wskazuje na serwer kontrolowany przez przestępców (m.in. claude.update-version.com). Na Windowsie uruchamia się przez mshta.exe i instaluje infostealera Amatera wykradającego hasła z przeglądarki, ciasteczka i tokeny sesji. Atakujący wykorzystują nawyk programistów do instalowania narzędzi jednym poleceniem curl/npm — typowy wzorzec dla CLI-tools jak Homebrew, Rust czy nvm. Google zablokowało konto reklamodawcy, ale podobne kampanie się powtarzają. Warto korzystać z blokera reklam (uBlock Origin) i weryfikować domenę przed wklejeniem polecenia w terminalu.

Źródło: Sekurak [PL]

---

CERT Polska ostrzega przed nową kampanią SMS: fałszywe powiadomienia o wygasających punktach Allegro

CERT Polska ostrzega przed świeżą kampanią phishingową w formie SMS-ów informujących o „wygasających punktach Allegro", które można wymienić na nagrodę. Po kliknięciu w link ofiara trafia na stronę imitującą serwis Allegro i proszoną jest o dane karty płatniczej w celu „aktywacji nagrody". Kampania zawiera ciekawy element obejścia: jeśli link jest nieaktywny (blokada telefonu), SMS prosi o odpisanie „Tak" — co pozwala ominąć automatyczne filtry antyspamowe wykrywające linki w niechcianej korespondencji. Wiadomości SMS o nagrodach, punktach i wygranych są niemal zawsze próbą wyłudzenia. Podejrzane SMS-y można i warto przekazać na bezpłatny numer 8080.

Źródło: CERT Polska [PL]

---

EvilTokens: nowa kampania phishingowa omijająca uwierzytelnianie Microsoft 365 przez złośliwe tokeny

HelpNetSecurity opisuje kampanię EvilTokens atakującą użytkowników Microsoft 365. Atakujący generują fałszywe linki do logowania, które — po kliknięciu przez ofiarę — przechwytują tokeny uwierzytelniające (OAuth tokens) zamiast haseł. Tokeny OAuth są stosowane przez M365 do potwierdzania tożsamości między aplikacjami i mają zazwyczaj długi czas życia — w odróżnieniu od haseł nie są powiązane z MFA. Dzięki skradzionemu tokenowi atakujący loguje się do środowiska Microsoft 365 ofiary bez znajomości hasła i bez konieczności przechodzenia przez weryfikację dwuetapową. Ochrona wymaga monitorowania tokenów pod kątem nieautoryzowanego użycia z nowych lokalizacji lub urządzeń oraz stosowania polityk dostępu warunkowego (Conditional Access) w Azure AD.

Źródło: HelpNetSecurity [EN]

---

5. DEZINFORMACJA, CYBER WOJNA

---

Irańskie operacje cybernetyczne pod przykrywką ransomware: kampania Pay2Key jako narzędzie dezinformacji

Dark Reading opisuje nowy raport ujawniający, że irańska operacja znana jako Pay2Key — początkowo identyfikowana jako tradycyjna kampania ransomware wymierzona w izraelskie firmy — była w rzeczywistości operacją psychologiczną i destrukcyjną udającą motywację finansową. Grupy powiązane z Iranem coraz częściej wdrażają pseudo-ransomware: malware, który wygląda jak ransomware i żąda okupu, ale jego prawdziwym celem jest zniszczenie danych lub destabilizacja ofiary — nie zarobek. Modus operandi pozwala ukryć rzeczywisty cel ataku, utrudnić atrybucję (bo „przecież to tylko złodzieje") i wywołać chaos operacyjny. Raport podkreśla, że linia między ransomware a wiperami — cyberbroniami destrukcji — staje się coraz bardziej rozmyta w kontekście ataków sponsorowanych przez państwa.

Źródło: Dark Reading [EN]

---

Silver Fox rozszerza kampanie szpiegowskie w Azji — nowe cele w sektorze finansowym i rządowym

The Hacker News opisuje ekspansję chińskiej grupy APT Silver Fox, która rozszerzyła swoje kampanie szpiegowskie na kolejne kraje azjatyckie, atakując instytucje finansowe, rządowe i firmy technologiczne. Nowe kampanie używają zaktualizowanych wariantów złośliwego oprogramowania z ulepszonymi mechanikami unikania wykrycia, w tym nowych technik obfuskacji i rozbudowanych mechanizmów persistencji. Silver Fox jest znany z łączenia szpiegostwa gospodarczego z operacjami wywiadowczymi — zbierania zarówno danych biznesowych (np. o kontraktach i przetargach), jak i informacji o strukturach organizacyjnych i personelu. Kampania jest szczególnie aktywna w sektorach, gdzie chińskie firmy bezpośrednio konkurują z zachodnimi lub lokalnymi przedsiębiorstwami.

Źródło: The Hacker News [EN]

---

Deepload: nowe narzędzie pozwala cyberprzestępcom stosować AI do obfuskacji malware na każdym etapie ataku

CyberScoop opisuje raport ReliaQuest dotyczący narzędzia Deepload — usługi dostępnej w ekosystemie cyberprzestępczym, która używa AI do automatycznej obfuskacji (zaciemniania) kodu malware na każdym etapie łańcucha ataku. Oznacza to, że nie tylko finalne ładunki, ale też droppery, loadersy i C2-komunikacja są na bieżąco przetwarzane przez AI, generując nowe warianty wymykające się sygnaturom antywirusów i regułom detekcji. Dotychczas obfuskacja była zadaniem wymagającym wiedzy technicznej — Deepload automatyzuje ten proces, demokratyzując możliwość tworzenia malware omijającego zabezpieczenia. To kolejny przykład, jak AI jest weaponizowana przez przestępców, obniżając próg wejścia do zaawansowanej działalności przestępczej.

Źródło: CyberScoop [EN]

---

📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 31 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.