🔐 Cyber Security Daily News | 25.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. 📰 NEWS
Zakończyły się ćwiczenia Locked Shields 2026 — 41 państw testowało odporność cybernetyczną w największym ćwiczeniu na świecie
Centrum Doskonałości NATO ds. Cyberobrony (CCDCOE) podsumowało tegoroczną edycję ćwiczeń Locked Shields — uznawanych za największe i najbardziej wymagające ćwiczenia cyberobrony na świecie. W 2026 roku uczestniczyło 41 krajów, a ćwiczenia testowały zdolność do obrony w warunkach symulowanego, masowego cyberataku na infrastrukturę krytyczną fikcyjnego państwa. Locked Shields kładą nacisk na realistyczne scenariusze: ochronę sieci IT, systemów OT/ICS, mediów, komunikacji wojskowej i systemów głosowania. Wyniki ujawniają luki w koordynacji między sektorami i pokazują, które kraje mają najbardziej zintegrowane zdolności obronne. W tegorocznej edycji szczególny nacisk położono na obronę przed atakami z użyciem AI.
Źródło: CyberDefence24 [PL] | SecurityWeek [EN]
Backdoor FIRESTARTER na zaporze Cisco w agencji federalnej USA — przeżywa reinstalacje oprogramowania i łatki
CISA i brytyjski NCSC opublikowały wspólny alert po odkryciu niebezpiecznego backdoora nazwanego Firestarter na urządzeniu Cisco Firepower należącym do federalnej agencji cywilnej USA. Wyjątkowość tego złośliwego oprogramowania polega na tym, że przeżywa standardowe reinstalacje firmware'u i ponowne uruchomienia sprzętu — co czyni je wyjątkowo trudnym do usunięcia. Cisco Talos przypisało malware grupie UAT-4356, tej samej która w 2024 roku prowadziła kampanię ArcaneDoor. Dochodzenie wykazało, że hakerzy siedzieli w sieci od co najmniej września 2025 roku, zanim zostali wykryci przez system ciągłego monitoringu CISA. CISA wydała zaktualizowaną dyrektywę awaryjną nakazującą wszystkim federalnym agencjom cywilnym pilny przegląd urządzeń Cisco.
Źródło: CyberScoop [EN] | The Hacker News [EN]
CERT Polska ujawnia podatność w polskim oprogramowaniu AdaptiveGRC (CVE-2026-4313)
CERT Polska opublikował odpowiedzialnie ujawnioną podatność w AdaptiveGRC — polskim oprogramowaniu do zarządzania ryzykiem, zgodnością i ładem korporacyjnym (GRC), stosowanym przez organizacje w sektorach regulowanych. CVE-2026-4313 jest przykładem rosnącej uwagi badaczy na oprogramowanie wyspecjalizowane, które nieraz pozostaje poza radarem wielkich audytów bezpieczeństwa, a przetwarza wrażliwe dane z zakresu zarządzania ryzykiem organizacji. Producent wydał już poprawkę, a użytkownicy oprogramowania powinni jak najszybciej zaktualizować instalacje. CERT Polska regularnie prowadzi taki koordynowany proces CVD (Coordinated Vulnerability Disclosure), który chroni polskie organizacje przed tym, że luka zostałaby znaleziona i wyeksploatowana przez atakujących zanim producent będzie miał szansę zareagować.
Źródło: CERT Polska [PL]
Microsoft wdrozi passkeys Microsoft Entra na Windows pod koniec kwietnia — krok do logowania bez hasła
Microsoft ogłosił uruchomienie passkeys w ramach Microsoft Entra ID dla urządzeń Windows — planowane na koniec kwietnia. Passkeys to forma uwierzytelniania kryptograficznego opartego na standardach WebAuthn/FIDO2, która całkowicie eliminuje konieczność używania haseł i jest odporna na phishing AiTM. Użytkownik loguje się przez biometrię urządzenia (Windows Hello) lub PIN, a klucz kryptograficzny nigdy nie opuszcza urządzenia. Zmiana jest szczególnie ważna w kontekście rosnącej skali ataków omijających MFA przez przechwytywanie tokenów — passkeys są z natury odporne na ten wektor. NCSC popiera tę metodę jako najbezpieczniejszą dostępną w codziennym użyciu.
Źródło: CyberDefence24 [PL] | Infosecurity Magazine [EN]
2. 🚨 INCYDENTY
Skutki ataku na Vercel rozszerzają się — odkryto kompromitację większej liczby klientów i systemów zewnętrznych
CyberScoop opisuje nowe ustalenia Vercela dotyczące zakresu niedawnego włamania na jego infrastrukturę. Firma po analizie blisko petabajta logów stwierdziła, że incydent dotknął więcej klientów niż pierwotnie zakładano, a ślady kompromitacji znaleziono też w systemach zewnętrznych partnerów. CEO Guillermo Rauch przekazał, że firma utrzymuje, iż liczba dotkniętych kont jest „mała", ale bez podania konkretnych liczb. Vercel jest platformą używaną przez miliony deweloperów do deployowania aplikacji — a skompromitowane klucze środowiskowe (environment variables) mogły prowadzić do nieautoryzowanego dostępu do zewnętrznych serwisów i baz danych klientów. Firma zaleca rewizję wszystkich kluczy środowiskowych, tokenów i sekretów w panelu.
Źródło: CyberScoop [EN]
ShinyHunters twierdzą, że mają dane Carnival Corporation — jednego z największych operatorów wycieczkowców
The Register informuje, że notoryczna grupa ShinyHunters ogłosiła na forach przestępczych, że weszła w posiadanie danych z Carnival Corporation — giganta branży turystyki morskiej, który zarządza markami takimi jak Princess Cruises, Costa, AIDA, Holland America i P&O Cruises, obsługując miliony pasażerów rocznie. Carnival nie potwierdził ani nie zaprzeczył incydentowi. ShinyHunters ma za sobą udokumentowaną historię ataków na duże firmy — wcześniej zaatakowali Ticketmaster, Santander, Rockstar Games i Komisję Europejską. Pasażerowie korzystający z usług marek Carnival powinni zachować czujność wobec wszelkich kontaktów ze strony rzekomo obsługi klienta i sprawdzić, czy ich dane nie trafiły do HIBP.
Źródło: The Register [EN]
Złośliwy pakiet npm z propagacją robaczkową — nowa fala ataków supply chain w ekosystemie JavaScript
Infosecurity Magazine opisuje nową, niepokojącą odmianę ataku supply chain w rejestrze npm. Złośliwe pakiety @automagik/genie i pgserve zawierają malware, który przy instalacji nie tylko kradnie tokeny npm i dane uwierzytelniające, ale aktywnie próbuje zainfekować inne pakiety posiadające te same tokeny dostępu — tworząc efekt kaskadowego robakiem. Eksfiltracja odbywa się przez HTTPS i infrastrukturę ICP (Internet Computer Protocol, kanistry na blockchainie), co utrudnia blokowanie. Badacze z Socket wskazują na podobieństwa z wcześniejszymi kampaniami TeamPCP. Jeden z zainfekowanych pakietów miał ponad 6700 pobrań tygodniowo. To eskalacja zagrożenia supply chain: zamiast infekować jeden pakiet, malware sam rozprzestrzenia się przez ekosystem.
Źródło: Infosecurity Magazine [EN]
3. 💡 CIEKAWOSTKI
12-letnia luka Pack2TheRoot w Linuxie daje zwykłemu użytkownikowi uprawnienia root
Security Affairs i BleepingComputer opisują odkrycie podatności CVE-2026-3977 o nazwie Pack2TheRoot — luki istniejącej od ponad 12 lat w podsystemie pakowania plików jądra Linuxa. Błąd pozwala lokalnie zalogowanemu nieprzywilejonowanemu użytkownikowi eskalować uprawnienia do poziomu root — co oznacza pełną kontrolę nad systemem. Luka dotyczy szerokiego zakresu dystrybucji Linuxa, w tym serwerowych, i jest szczególnie groźna w środowiskach z wieloma użytkownikami (systemy współdzielone, kontenery z niepełną izolacją). Poprawki zostały już wydane przez główne dystrybucje. Administratorzy systemów Linuxa powinni pilnie zaktualizować jądro, szczególnie na serwerach z dostępem wielu użytkowników.
Źródło: Security Affairs [EN]
Złośliwa aktualizacja Bitwarden CLI powiązana z atakiem na Checkmarx — Sekurak z ostrzeżeniem
Sekurak opisuje złośliwą wersję 2026.4.0 Bitwarden CLI, która była dostępna w npm przez półtorej godziny 22 kwietnia i wykradała szerokie spektrum poświadczeń: tokeny GitHub, npm, SSH, klucze do usług chmurowych, CI/CD i narzędzi AI. Dane były eksfiltrowane na serwer C2, z GitHub jako zapasowym kanałem. Badacze z Socket łączą ten incydent z szerszą kampanią supply chain atakującą wcześniej infrastrukturę Checkmarx (dostawcy narzędzi AppSec). Złośliwa wersja nie jest już dostępna do pobrania, ale każdy, kto zaktualizował Bitwarden CLI w tym oknie czasowym, powinien natychmiast zrotować wszystkie poświadczenia. Kampania wydaje się celowo wymierzona w deweloperów z najszerszymi dostępami do infrastruktury.
Źródło: Sekurak [PL] | Security Affairs [EN]
Tropic Trooper używa trojanizowanej wersji SumatraPDF i GitHub do wdrożenia C2 AdaptixC2
The Hacker News opisuje kampanię grupy Tropic Trooper (powiązanej z Taiwanem/Chinami kontynentalnymi), w której hakerzy dystrybuują trojanizowaną wersję popularnego czytnika PDF SumatraPDF — bezpłatnego oprogramowania open-source, często pobieranego przez użytkowników z Azji Południowo-Wschodniej. Zainfekowana wersja instaluje framework C2 AdaptixC2 i używa GitHub do komunikacji z centrum dowodzenia — ukrywając złośliwy ruch wśród legalnych połączeń do platformy deweloperskiej. Taktyka jest szczególnie podstępna, bo SumatraPDF jest doceniany właśnie za prostotę i brak bloatware — użytkownicy mają do niego wysoki poziom zaufania. Pobieraj oprogramowanie wyłącznie ze sprawdzonych źródeł i weryfikuj sumy kontrolne.
Źródło: The Hacker News [EN]
4. 🎣 OSZUSTWA, SCAMY, EXPLOITY
Prorosyjskie grupy uzyskują dostęp do kamer monitoringu w Polsce — domy, hotele, sklepy
CyberDefence24 alarmuje o zidentyfikowanych przypadkach, w których prorosyjskie grupy uzyskały nieuprawniony dostęp do kamer CCTV zainstalowanych w polskich obiektach — w tym w domach prywatnych, hotelach i sklepach. Kamery podłączone do internetu bez odpowiedniej ochrony (domyślne hasła, nieaktualizowany firmware, brak segmentacji sieci) są permanentnym wektorem ataku. W kontekście geopolitycznym podgląd przez kamery w Polsce ma oczywistą wartość wywiadowczą — pozwala śledzić infrastrukturę logistyczną wsparcia dla Ukrainy, miejsca pobytu osób i routy transportowe. Zalecenie jest proste: zmień domyślne hasło na kamerze, aktualizuj firmware i wyizoluj kamery w osobnej sieci IoT.
Źródło: CyberDefence24 [PL]
Kampania phishingowa wymierzona w Signal dotarła do Przewodniczącej Bundestagu Julii Klöckner
Security Affairs opisuje kampanię phishingową na Signal, która uderzyła w kolejną wysokiej rangi polityk — tym razem Julię Klöckner, Przewodniczącą Bundestagu. Atakujący podszywają się pod wsparcie techniczne Signala i próbują wyłudzić PIN do konta lub nakłonić do zeskanowania złośliwego kodu QR. Przejęcie konta na Signalu osoby o takiej pozycji to kopalnia wrażliwych informacji o wewnętrznych rozmowach parlamentarnych, planach legislacyjnych i prywatnych kontaktach. To kolejny przypadek z Niemiec po wcześniejszym ataku na byłego wiceszefa BND — co wskazuje na systematyczną kampanię wymierzoną w elity polityczne i bezpieczeństwa Niemiec. Prosty środek zaradczy: włącz dwustopniowy PIN w Signalu.
Źródło: Security Affairs [EN]
Deepfake awatarów gwiazd jako przemysłowe narzędzie oszustw — analiza nowego ekosystemu przestępczego
Trybawaryjny.pl analizuje ewolucję deepfake'ów z eksperymentalnego zagrożenia w dojrzały, zindustrializowany ekosystem przestępczy. Dziś firmy oferujące „fabryki awatarów" produkują dziesiątki tysięcy deepfake'owych wideo w ciągu doby — z twarzami znanych polityków, celebrytów i prezesów firm — które są dystrybuowane przez sieci reklam w mediach społecznościowych. Cały łańcuch produkcji jest zautomatyzowany: AI sklonuje głos z 30-sekundowej próbki, nałoży twarz na gotowy szablon wideo i wygeneruje tekst skryptu zgodny z profilem ofiary. Ofiary deepfake'ów ponoszą realne szkody finansowe i wizerunkowe, a platformy walczą z tym zjawiskiem jak z hydra — jedno konto usuniętych, dziesięć nowych się pojawia.
Źródło: TrybAwaryjny.pl [PL]
5. 🌐 DEZINFORMACJA, CYBER WOJNA
Próba zamachu na kierownictwo rosyjskiego Roskomnadzoru — nowe napięcia wewnątrz rosyjskich struktur
CyberDefence24 opisuje doniesienia o próbie zamachu na wysokich rangą urzędników Roskomnadzoru — rosyjskiego regulatora mediów i internetu odpowiedzialnego za cenzurę sieci. Agencja jest kluczowym instrumentem kontroli informacyjnej w Rosji — to ona blokuje strony, nakłada kary na platformy i nadzoruje implementację systemu izolacji RuNet. Incydent wpisuje się w rosnące napięcia wewnątrz rosyjskich struktur władzy w kontekście trwającego konfliktu zbrojnego i narastającej presji społecznej. Niezależnie od powodów ataku, zagrożenie bezpieczeństwa fizycznego urzędników odpowiedzialnych za kontrolę informacyjną jest bezpośrednio powiązane z napięciami w sferze cybernetycznej i informacyjnej Rosji.
Źródło: CyberDefence24 [PL]
CBŚP inauguruje projekt TRIDENT — polska policja przygotowuje się na falę nielegalnej broni ze Wschodu
Infosecurity24 opisuje inaugurację w Warszawie projektu TRIDENT — inicjatywy wartej ponad 6,6 mln zł, na czele której stoi Centralne Biuro Śledcze Policji, mającej na celu zwalczanie przemytu broni i materiałów wybuchowych z terenów objętych konfliktem zbrojnym. Projekt łączy siły krajowych i zagranicznych służb oraz angażuje CBZC w kontekście cybernetycznym — bo handel bronią coraz częściej odbywa się przez zaszyfrowane komunikatory, dark web i platformy kryptowalutowe. To ważny sygnał, że polskie służby traktują konwergencję zagrożeń fizycznych i cybernetycznych jako jedno wyzwanie bezpieczeństwa, a nie dwa oddzielne problemy.
Źródło: Infosecurity24 [PL]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 24 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.