🔐 Cyber Security Daily News | 20.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Kontrahent CISA ujawnił klucze AWS GovCloud na publicznym GitHubie — katastrofa bezpieczeństwa rządu USA
KrebsOnSecurity ujawnia skandal: do ubiegłego weekendu na publicznym repozytorium GitHub o nazwie "Private-CISA" znajdowały się klucze dostępowe do wielu uprzywilejowanych kont AWS GovCloud należących do Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury USA (CISA) — tej samej agencji, która ostrzega innych przed wyciekami danych. Repozytorium zawierało pliki z tytułami "AWS-Workspace-Firefox-Passwords.csv", "Important AWS Tokens.txt", "kube-config.txt" i inne — dosłownie podręcznik dla atakującego, jak przejąć wewnętrzną infrastrukturę CISA. Eksperci ds. bezpieczeństwa określają to mianem "jednego z najbardziej rażących wycieków rządowych w historii". Repozytorium zostało usunięte po interwencji firmy GitGuardian, która przez kilka dni bezskutecznie próbowała dotrzeć do właściciela konta. CISA nie wydała dotąd oficjalnego oświadczenia.
Źródło: Krebs on Security [EN]
Microsoft rezygnuje z SMS jako metody 2FA — nowe konta domyślnie chronione przez passkeys
Microsoft ogłosił historyczną zmianę: nowe konta Microsoft będą domyślnie konfigurowane bez hasła (passwordless), z passkeys jako podstawową metodą uwierzytelniania, a jednorazowe kody SMS są stopniowo wycofywane jako "zbyt niebezpieczna" forma 2FA. Zmiana wynika z wieloletnich dowodów, że SMS-y są podatne na ataki SIM Swap, przechwycenie przez IMSI Catchery i phishing w czasie rzeczywistym (AiTM). Microsoft szacuje, że już ponad miliard kont korzysta z uwierzytelniania bez hasła. Dla istniejących użytkowników SMS pozostaje opcją, ale nowe konta nie będą już jej oferować jako domyślnej ścieżki. To przełomowy krok dla bezpieczeństwa kont cyfrowych — passkeys są odporne na phishing i znacznie trudniejsze do przejęcia.
Źródło: Instalki.pl [PL], Dobreprogramy [PL]
Storm-2949 — jak jedno skradzione poświadczenie doprowadziło do naruszenia całej infrastruktury chmurowej
Microsoft Security opublikował szczegółową analizę ataku grupy Storm-2949, która zamieniła skradzioną tożsamość jednego pracownika w pełne przejęcie infrastruktury chmurowej ofiary. Schemat ataku: phishing na "MFA fatigue" → skradziony token OAuth → rejestracja dodatkowego urządzenia → lateral movement przez Entra ID → przejęcie wszystkich zasobów Azure. Raport podkreśla kluczową lekcję: w modelu Zero Trust każda tożsamość jest celem, a nawet "niepozorna" aplikacja deweloperska z permisją do odczytu poczty może stać się wektorem ataku na cały tenant chmurowy. Zalecenia obejmują Conditional Access Policy, ograniczenie uprawnień OAuth i monitoring rejestru urządzeń.
Źródło: Microsoft Security Blog [EN]
🚨 INCYDENTY
Iran manipuluje odczytami paliwa w zbiornikach na stacjach benzynowych USA — cyberatak na systemy ATG
Według doniesień CNN i potwierdzenia CyberDefence24 oraz CRN.pl, amerykańscy urzędnicy podejrzewają Iran o przeprowadzenie cyberataku na systemy automatycznego pomiaru paliwa (ATG — Automatic Tank Gauging) na stacjach benzynowych w USA. Hakerzy manipulowali odczytami sensorów mierzących poziomy paliwa w zbiornikach, fałszując dane przekazywane do systemów zarządzania stacją. Choć atak nie spowodował eksplozji ani wycieku, fałszywe odczyty mogą zakłócić logistykę dostaw paliwa i stworzyć ryzyko środowiskowe. ATG-i są podłączone do internetu w tysiącach stacji — i choć znane luki w tych systemach były dokumentowane od lat, nadal są powszechnie niezałatane. To kolejna irańska operacja wymierzona w amerykańską infrastrukturę krytyczną po atakach Handala.
Źródło: CyberDefence24 [PL], CRN.pl [PL]
Shai Hulud ma naśladowców — wyciek kodu źródłowego robaka napędza falę kopijatek
Po tym, jak kod źródłowy robaka npm Shai Hulud wyciekł publicznie, The Register i Security Affairs odnotowują pojawienie się pierwszych "copycat" kampanii: inne grupy przestępcze zmodyfikowały i redystrybuują robaka, atakując kolejne popularne pakiety npm. Oryginalna kampania Shai Hulud w 2025 roku skompromitowała ponad 500 paczek i skradła 8,5 mln dolarów; kopiści pracują z gotowym kodem i tylko podmieniają adresy eksfiltracji danych. To klasyczny efekt domina: po upublicznieniu kodu złośliwego oprogramowania ekosystem przestępczy natychmiast go adoptuje i mutuje. Deweloperzy npm powinni wzmocnić weryfikację integralności zależności.
Źródło: The Register [EN], Security Affairs [EN]
MSHTA — narzędzie z lat 90 przeżywa renesans jako wektor cichego malware
SecurityWeek i Bitdefender opisują rosnącą liczbę ataków wykorzystujących MSHTA (Microsoft HTML Application Host) — narzędzie wbudowane w Windows od 1996 roku, które pozwala uruchamiać pliki HTA zawierające skrypty. Atakujący kierują ofiary (głównie przez e-mail lub dokumenty Word) do pliku HTA hostowanego zdalnie — MSHTA automatycznie go pobiera i wykonuje skrypt VBScript lub JavaScript, omijając przy tym wiele nowoczesnych systemów wykrywania, które skupiają się na exe i PowerShell. Efektem jest "bezplikowe" uruchamianie malware bezpośrednio w pamięci. Microsoft od lat oznacza MSHTA jako narzędzie "do usunięcia w przyszłości" — ale wciąż jest obecne na wszystkich wersjach Windows.
Źródło: SecurityWeek [EN], Bitdefender [EN]
💡 CIEKAWOSTKI
Sekurak: Można było oglądać obraz z 1,1 miliona elektronicznych niań — w tym polskich
Sekurak opisuje odkrycie badacza (tego samego, który wcześniej ujawnił lukę w odkurzaczach DJI): serwer MQTT obsługujący 1,1 miliona wideonianiek był dostępny bez uwierzytelnienia z całego internetu, a komunikaty wszystkich kamer były widoczne publicznie. Każdy, kto wiedział jak się połączyć, mógł odczytać URL-e do zdjęć i nagrań z każdej niańki na świecie — w tym polskich. Zdjęcia przechowywane były na serwerach Alibaba Cloud i były dosłownie dostępne jako link. Badacz Sammy Azdoufal zgłosił blisko 10 podatności. Schemat ataku jest banalny: nieprawidłowa konfiguracja serwera kolejkowego ekspozycja na świat. Dla rodziców: zawsze sprawdzajcie, czy wasz monitor dla dziecka wymaga uwierzytelnienia i czy ruch jest szyfrowany.
Źródło: Sekurak [PL]
Sekurak: BitLocker — szczegóły ataku YellowKey i dlaczego fizyczny dostęp może wystarczyć
Sekurak opublikował szczegółową analizę podatności YellowKey, która pozwala ominąć szyfrowanie BitLocker przez fizyczny dostęp do komputera za pomocą zwykłego pendrive'a. Atakujący umieszcza na USB specjalnie spreparowane pliki FsTx, uruchamia komputer z WinRE (środowisko odzyskiwania Windows), przytrzymuje Ctrl i uruchamia shell z dostępem do plików chronionych dysków. Luka jest szczególnie groźna w scenariuszach kradzieży laptopa lub nieuprawnionego dostępu do stanowiska pracy: BitLocker z samym TPM (bez PINu) nie zapewnia ochrony. Zalecenie: zawsze konfiguruj BitLocker z wymaganym PINem przy starcie — TPM-only to za mało.
Źródło: Sekurak [PL]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Cztery złośliwe pakiety npm dostarczają backdoora — kolejna fala ataków supply chain
The Hacker News opisuje nową kampanię: cztery fałszywe pakiety npm zostały opublikowane pod nazwami naśladującymi popularne biblioteki JavaScript. Paczki instalują ukrytego backdoora umożliwiającego zdalne wykonanie kodu na maszynie dewelopera. Kampania jest kontynuacją aktywności grup TeamPCP i Shai Hulud — ekosystem npm pozostaje aktywnym polem ataku supply chain. Deweloperzy powinni stosować weryfikację paczek przed instalacją (sprawdzanie autora, dat publikacji, liczby pobrań) i korzystać z narzędzi takich jak Socket.dev do automatycznej detekcji podejrzanych zależności.
Źródło: The Hacker News [EN]
B1ack's Stash — darknet marketplace rozdaje 4,6 miliona skradzionych kart w hakerskiej akcji marketingowej
SecurityWeek opisuje niecodzienny ruch: marketplace B1ack's Stash — platforma sprzedaży skradzionych danych kart płatniczych — opublikował za darmo dane 4,6 miliona kart jako "próbkę" przyciągającą nowych klientów do płatnej oferty. To cyniczny, lecz skuteczny marketing: "premium" carding marketplace daje się poznać przez duże, bezpłatne upublicznienie danych, a następnie liczy na subskrypcje od przestępców chcących dostępu do milionów kolejnych kart. Dla posiadaczy kart: sprawdź swoje transakcje i rozważ zastrzeżenie karty, jeśli masz obawy. Weryfikacja na HaveIBeenPwned nie obejmuje wszystkich takich wycieków.
Źródło: SecurityWeek [EN]
🌐 DEZINFORMACJA, CYBER ВОЙНА
FSB przeprowadza masowe aresztowania na Ukrainie — kilkadziesiąt osób zatrzymanych za szpiegostwo
CyberDefence24 informuje o kolejnej fali aresztowań przeprowadzonej przez ukraińskie służby kontrwywiadowcze w koordynacji z SBU: zatrzymano kilkadziesiąt osób podejrzanych o pracę dla rosyjskiej Federalnej Służby Bezpieczeństwa. Sprawcy — w tym osoby w mundurach wojskowych i pracownicy instytucji cywilnych — mieli dostarczać FSB dane wywiadowcze dotyczące rozmieszczenia wojsk, planów obronnych i danych osobowych żołnierzy. Rosja stosuje coraz szerszą sieć "jednorazowych" agentów rekrutowanych przez internet za pieniądze lub szantaż — o czym pisaliśmy w kontekście raportu ABW dla Polski. Aresztowania pokazują, że ukraiński kontrwywiad aktywnie monitoruje te sieci.
Źródło: CyberDefence24 [PL]
Banana RAT — zaawansowany backdoor wymierzony w sektor paliw i energetyczny w Azji
Trend Micro opisuje nową kampanię złośliwego oprogramowania Banana RAT, wyrafinowanego backdoora atakującego firmy z sektora paliw i energetyki w Azji Południowo-Wschodniej. Malware stosuje wielowarstwowe szyfrowanie komunikacji, podszywa się pod legalne procesy systemowe i korzysta z techniki DLL hijacking do trwałej obecności. Banana RAT daje atakującym pełną kontrolę zdalną: kradzież dokumentów, keylogging, dostęp do kamer. Atrybucja nie jest pewna, lecz techniki i cele wskazują na grupę powiązaną z chińskim wywiadem przemysłowym skupionym na pozyskiwaniu strategicznych danych energetycznych z regionu Azji-Pacyfiku.
Źródło: Trend Micro [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 19 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.